【wireshark】常用过滤规则

Wireshark是一款流行的网络协议分析工具，使用它可以捕获网络数据包，并对其进行分析。在Wireshark中，过滤规则是非常重要的，通过过滤规则可以快速定位和过滤关注的数据包

一、基础过滤规则

1、按IP地址过滤

ip.addr == x.x.x.x # 过滤指定IP地址的数据包
ip.src == x.x.x.x # 过滤源IP地址为指定IP地址的数据包
ip.dst == x.x.x.x # 过滤目的IP地址为指定IP地址的数据包

2、按协议过滤

tcp # 过滤TCP协议的数据包
udp # 过滤UDP协议的数据包
icmp # 过滤ICMP协议的数据包

3、按端口过滤

tcp.port == xx # 过滤指定TCP端口的数据包
udp.port == xx # 过滤指定UDP端口的数据包

4、按关键字过滤

http # 过滤HTTP协议的数据包
dns # 过滤DNS协议的数据包

二、高级过滤规则

1、比较运算符

tcp.len > xx # 过滤TCP数据长度大于xx的数据包
ip.len < xx # 过滤IP数据长度小于xx的数据包
frame.time_relative > xx # 过滤相对时间大于xx秒的数据包

2、逻辑运算符

ip.src == x.x.x.x && tcp.port == xx # 过滤源IP地址为x.x.x.x且TCP端口为xx的数据包
ip.src == x.x.x.x || ip.dst == x.x.x.x # 过滤源IP地址为x.x.x.x或目的IP地址为x.x.x.x的数据包
!(tcp.port == xx) # 过滤除TCP端口为xx之外的数据包

3、正则表达式

http.request.uri matches "xxx" # 过滤HTTP请求URI中包含xxx的数据包
dns.qry.name matches "xxx" # 过滤DNS查询域名中包含xxx的数据包

以上就是Wireshark的详细过滤规则介绍，如果您想更深入地了解Wireshark的过滤规则，可以查看Wireshark的官方文档。

参考链接：

(83条消息) wireshark最常用过滤规则_wireshark按时间过滤_程序猿Ricky的日常干货的博客-CSDN博客