wireshark的过滤命令 学习网络新手必看

Wireshark 的过滤命令非常丰富，以下是更全面的总结：

1. IP 地址过滤1：
   • 特定 IP：ip.addr == 192.168.1.100，显示与该 IP 相关的数据包。
   • 源 IP：ip.src == 192.168.1.100，仅显示源 IP 为指定地址的数据包。
   • 目标 IP：ip.dst == 192.168.1.100，仅显示目标 IP 为指定地址的数据包。
   • IP 范围：ip.addr >= 192.168.1.1 and ip.addr <= 192.168.1.100，显示在该 IP 地址范围内的数据包。
   • 多个 IP：ip.addr == 192.168.1.1 or ip.addr == 192.168.1.100，显示来自或去往这些 IP 的数据包。
   • 排除 IP：!(ip.addr == 192.168.1.100)，排除与该 IP 相关的数据包。
   • 子网过滤：ip.addr == 192.168.1.0/24，显示指定子网内的数据包。
2. 端口过滤3：
   • TCP 端口：tcp.port == 80，显示使用该 TCP 端口的数据包。
   • TCP 源端口：tcp.srcport == 80，仅显示源端口为指定端口的 TCP 数据包。
   • TCP 目标端口：tcp.dstport == 80，仅显示目标端口为指定端口的 TCP 数据包。
   • UDP 端口：udp.port == 53，显示使用该 UDP 端口的数据包。
   • UDP 源端口：udp.srcport == 53，仅显示源端口为指定端口的 UDP 数据包。
   • UDP 目标端口：udp.dstport == 53，仅显示目标端口为指定端口的 UDP 数据包。
3. 协议过滤3：
   • 特定协议：tcp、udp、http、dns、ssl、ftp、arp、icmp等，显示对应协议的数据包。
   • HTTP 请求方法：http.request.method == "GET"、http.request.method == "POST"等，显示特定 HTTP 请求方法的数据包。
4. 基于内容过滤4：
   • 字符串匹配：http.request.uri contains "login"，显示 HTTP 请求 URI 中包含指定字符串的数据包。http contains "error"，显示包含指定字符串的 HTTP 请求或响应数据包。
   • 字段存在检查：例如ip.dsfield.dscp == 46，筛选包含特定 DSCP 值的数据包。
5. 时间过滤1：
   • 特定时间之后：frame.time >= "June 02, 2019 11:04:00"，显示在该时间之后的数据包。
   • 特定时间范围：frame.time >= "June 02, 2019 11:04:00" && frame.time <= "June 02, 2019 12:00:00"，显示在该时间范围内的数据包。
6. TCP 标志过滤4：
   • SYN 标志：tcp.flags.syn == 1，显示设置了 SYN 标志的 TCP 数据包。
   • RST 标志：tcp.flags.reset == 1，显示设置了 RST 标志的 TCP 数据包。
7. MAC 地址过滤1：
   • 特定 MAC 地址：eth.addr == 00:70:f4:23:18:c4，显示与该 MAC 地址相关的数据包。
   • 广播地址：eth.dst == ff:ff:ff:ff:ff:ff，显示广播数据包。
   • 多播地址：eth.dst == 01:00:5e:00:00:00或eth.dst[0] & 1，显示多播数据包。
8. 数据包长度过滤5：
   • 大于指定长度：frame.len > 1000，显示长度大于 1000 字节的数据包。
   • 小于指定长度：frame.len < 500，显示长度小于 500 字节的数据包。
9. 组合过滤5：
   • 例如http.request && ip.src == 192.168.1.1，显示来自指定 IP 的 HTTP 请求数据包。可以使用逻辑运算符&&（与）、||（或）、!（非）组合多个过滤条件，以创建更复杂的表达式来满足分析需求。
10. 其他过滤4：
    • 显示 FCS 错误包：eth.fcs_bad，显示所有 FCS 错误的数据包。
    • 过滤 Beacon 包：wlan.fc.type_subtype == 0x08，用于筛选无线局域网中的 Beacon 数据包。