Wireshark过滤规则

Wireshark 的过滤规则可以分为两种：捕获过滤规则和显示过滤规则。

1. 捕获过滤规则

捕获过滤规则用于在开始捕获之前过滤流量，它直接影响捕获的结果。捕获过滤规则基于 BPF（Berkeley Packet Filter）语法。

常见捕获过滤规则示例：

• 过滤特定 IP 地址：
  host 192.168.1.1
• 过滤特定源 IP 地址：
  src host 192.168.1.1
• 过滤特定目标 IP 地址：
  dst host 192.168.1.1
• 过滤特定的协议（如 TCP、UDP、ICMP 等）：
  tcp
udp
icmp
• 过滤特定端口：
  port 80
tcp port 443
• 过滤 IP 地址和端口组合：
  host 192.168.1.1 and port 80
• 忽略特定流量：
  not tcp port 443

2. 显示过滤规则

显示过滤规则用于在捕获数据包后对其进行筛选，不影响数据捕获过程。它基于 Wireshark 的专用语法。

常见显示过滤规则示例：

• 过滤指定 IP 地址：
  ip.addr == 192.168.1.1
• 过滤特定源 IP 地址：
  ip.src == 192.168.1.1
• 过滤特定目标 IP 地址：
  ip.dst == 192.168.1.1
• 过滤特定协议：
  tcp
udp
icmp
• 过滤特定端口：
  tcp.port == 80
• 过滤特定 TCP 段的数据：
  tcp contains "GET"
• 过滤特定子网范围的流量：
  ip.addr == 192.168.1.0/24
• 组合条件：
  • 与条件：
    ip.addr == 192.168.1.1 and tcp.port == 80
  • 或条件：
    ip.addr == 192.168.1.1 or ip.addr == 192.168.1.2
• 过滤 HTTP GET 请求：
  http.request.method == "GET"

注意：

• 捕获过滤在性能上要求较高，因为它决定了捕获什么流量，排除其他流量。它比显示过滤更难修改，因为需要在开始捕获前设定。
• 显示过滤可以灵活应用，捕获后对数据进行过滤，分析起来更方便。