WireShark常用过滤规则

一、地址过滤
  • 对源地址及目的地址过滤
ip.src == 192.168.0.1
ip.dst == 192.168.0.1
  • 对源地址或者目的地址过滤
ip.addr == 192.168.0.1
  • 排除某个地址数据包过滤
!(ip.addr == 192.168.0.1)
二、端口过滤
  • 对源端口及目的端口过滤
tcp.srcport == 80
tcp.dstport == 80
  • 对源地址或者目的端口过滤
tcp.port == 80
  • 大于某个端口的过滤
tcp.port >= 60000
三、协议过滤
  • 协议过滤
直接在filter框中输入协议名,如过滤HTTP协议,则http
四、http协议相关过滤
  • 过滤出请求地址中包含“user”的请求
http.request.uri contains User
  • 过滤域名
http.host == www.baidu.com
  • 模糊过滤域名
http.host contains baidu
  • 过滤请求的content_type类型
http.content_type == 'text/html'
  • 过滤http请求方法
http.request.method == GET
  • 过滤http响应状态码
http.response.code == 200
  • 过滤含有指定cookie的http数据包
http.cookie contains userid
五、长度和内容的过滤
  • 针对数据段长度过滤
udp.length < 20
http.content_length <= 30
六、错误报文过滤

此错误是wireshark根据计算为了分析展示的错误,实际报文不会有此信息

  • 过滤出显示 TCP Previous segment not captured 报文
tcp.analysis.lost_segment

原因:前一个分片丢失,有可能是网络中确实丢失了,或者晚到了,也有可能是wireshark本身并没有抓到。
  • 过滤出显示TCP Dup ACK 报文
tcp.analysis.duplicate_ack

原因:当网络中存在乱序或者丢包时,将会导致接收端接收到的seq number不连续。此时接收端会向发送端回复重复ack,ack值为期望收到的下一个seq number。重复ack数大于等于3次将会触发快速重传。
  • 过滤出显示 TCP Out-Of-Order 报文
tcp.analysis.out_of_order

原因:一般来说是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元
  • 过滤出 TCP ZeroWindows 的报文
tcp.window_size == 0 

原因:当发送端发包速率大于接收端的接收速率时,会造成接收端TCP window越来越小,当接收端在反馈ack时携带的window size=0时,wireshark标记TCP Zero window。此时发送端将暂停发送数据,直到收到接收端window size!=0的标志。
  • 过滤出 TCP Window Full 的报文
tcp.analysis.window_full

原因:是指的发送端发送的数据已经达到的接受窗口的上限。发送端暂停发送,等待新的接收窗口的通告。
  • 4
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值