wireshark 过滤分析

最新推荐文章于 2025-06-13 14:39:01 发布
最新推荐文章于 2025-06-13 14:39:01 发布
阅读量5.3k 收藏 15
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/BlueBirdssh/article/details/89414099
本文详细介绍Wireshark中各种过滤器的使用方法,包括IP、端口、协议、包长度、HTTP模式过滤等,帮助读者掌握精确抓取和显示网络数据包的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、IP过滤:包括来源IP或者目标IP等于某个IP

比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP


二、端口过滤:

比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port <= 80


三、协议过滤:

tcpudp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl


四、包长度过滤:

比如:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后


五、http模式过滤:

例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包包含某头字段
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包包含某头字段
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 响应包包含某头字段
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”


六、连接符

   and / or


七、表达式:

!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)


八、wireshark filter contains 过滤器的用法

 

1.expert.message是用来对info信息过滤,主要配合contains来使用

2.过滤TCP协议端口5000,且TCP数据中包含有连续的数据:0x00 00 02 00 00 00 00 01 的正确写法如下:

tcp.port==5000 and tcp contains 00-00-02-00-00-00-00-01
不能写为:   tcp.port==5000 and tcp.data contains 0000020000000001
也不能写为: tcp.port==5000 and tcp contains "00-00-02-00-00-00-00-01"
也不能写为: tcp.port==5000 and tcp contains 0x000002

130604:
可以用:ip.addr == 192.168.0.191 && tcp.port==5000 &&   tcp  contains a7-d8-c1
可以用:ip.addr == 192.168.0.191 && tcp.port==5000 &&   data contains a7-d8-c1
不能用:ip.addr == 192.168.0.191 && tcp.port==5000 &&   tcp.data contains a7-d8-c1

九、抓取过滤规则

9.1 只抓取HTTP报文

tcp port 80

解析:上面是只抓取tcp 协议中80端口的包,大部分Web网站都是工作在80端口的,如果碰到了81端口呢?可以使用逻辑运算符or呗!如 tcp port 80 or tcp port 81

9.2 .只抓取arp报文

ether proto 0x0806

解析:ether表示以太网头部,proto表示以太网头部proto字段值为0x0806,这个字段的值表示是ARP报文,如果的ip报文此值为0x8000

9.3 只抓取与某主机的通信

host www.cnblogs.com

只抓取和博客园服务器的通信,src表示源地址,dst表示目标地址

十、显示过滤规则

只是将已经抓取到的包进行过滤显示。

在下方的输入框添入相应的规则点击apply即可,如果需要清除这一次的显示过滤点击Clear即可

1.只显示HTTP报文

tcp.port == 80

2.只显示ARP报文

eth.type == 0x806

3.只显示与某主机的通信

ip.addr == 42.121.252.58

 

一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 5万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 3750
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
Wireshark网络抓包(二)——过滤
weixin_30834019的博客
02-04 515
一、捕获过滤器 选中捕获选项后,就会弹出下面这个框,在红色输入框中就可以编写过滤规则。 1)捕获单个IP地址 2)捕获IP地址范围 3)捕获广播或多播地址 4)捕获MAC地址 5)捕获所有端口号 6)捕获特定ICMP数据 当网络中出现性能或安全问题时,将会看到ICMP(互联网控制消息协议)。 在这种情况下,用户必须使用一个偏移量表示一个ICMP中...
Wireshark过滤规则
云淡风轻
03-06 3391
http.host==magentonotes.com http.host contains magentonotes.com //过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名 http.response.code==302 //过滤http响应状态码为302的数据包 http.response==1 //过滤所有的http响应包 http.request==1 /...
wireshark过滤规则及使用方法
最新发布
weixin_43536460的博客
06-13 330
筛选出目标MAC地址为`A0:00:00:04:C5:84`的数据包:`eth.dst == A0:00:00:04:C5:84`- 筛选出源MAC地址为`A0:00:00:04:C5:84`的数据包:`eth.src == A0:00:00:04:C5:84`- 筛选出端口号为80的数据包:`tcp.port == 80` 或 `udp.port == 80`- 可以使用`and`(与),`or`(或),`not`(非)进行逻辑组合。- 例如,要筛选出所有TCP协议的数据包,可以输入 `tcp`。
Wireshark过滤
GY_1202的博客
06-10 7994
wireshark两种数据过滤方式:捕获过滤器、显示过滤器。
wireshark过滤包规则
qq_40298645的博客
06-21 6721
1. Wireshark过滤语句中常用的操作符关键字有: contains和matches关键字“contains过滤包含指定字符串的数据包。例如:http.request.uri contains “/dll/test.htm?” //过滤http请求的uri中含有/dll/test.htm?字段的请求信息udp contains 81:60:03 //过滤包含81:60:03的udp数据包http.request.uri matches “V4=..1″ //matches 匹配过滤条件中给定的正则表
Wireshark——过滤器设置
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
wireshark过滤
03-17
Wireshark过滤器是网络分析工具Wireshark中的一个重要特性,它允许用户高效地筛选和查看网络通信数据。Wireshark是一款开源的网络封包分析软件,广泛用于网络故障排查、安全审计和协议开发等领域。通过使用过滤器,...
这些Wireshark过滤条件,让你的Wireshark网络分析变得更加高效
程序员野蛮成长
08-12 997
Wireshark 是一款开源网络数据包分析工具,可以用于捕获、分析和调试网络数据包。在使用 Wireshark 进行数据包分析时,常常需要使用过滤条件来过滤数据包,以便查找特定的数据包或者分析网络性能。
Wireshark过滤器说明文档中文版
03-02
Wireshark 过滤器说明文档中文版 Wireshark 过滤器是 Wireshark 和 TShark 中的一个强大功能,能够帮助...Wireshark 过滤器是 Wireshark 和 TShark 中一个非常强大和灵活的功能,能够帮助用户快速地查找和分析数据包。
wireShark常用过滤规则
ckm1607011的博客
05-11 2007
在filter框中输入过滤条件可以指定显示满足条件的数据包; 1.过滤源ip:ip.src==192.186.0.107,则只显示源ip等于192.186.0.107的数据包; 2.过滤目的ip:ip.dst==192.186.0.101,则只显示目的ip等于192.186.0.101的数据包; 3.端口过滤:tcp.port==80,则只显示源端口和目的端口为80的数据包;tcp.srcport==80,则只显示源端口为80的数据包;tcp.dstport==80,则只显示目的端口为80的数据包
Wireshark内容过滤方法
热门推荐
情义唯真,友谊方长存
02-23 2万+
关键字说明: “eq” 和 “==”表示等同,and” 表示并且,“or”和“||”表示或者。“!” 和 “not”表示取反。过滤方法: 一、针对IP地址的过滤。   (1)源地址    表达式为:ip.src == 192.168.0.1    ip.src == 10.230.0.0/16 显示来自10.230网段的封包。   (2)目的地址
wireshark过滤
Alps__的专栏
02-23 502
1.协议过滤语法 按协议的属性值进行过滤: ip.addr == 10.1.1.1 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6ip.src == 10.230.0.0/16显示来自10.230网段的封包。 tcp.port == 25显示来源或目的TCP端口号为25的封包。tcp.dstport == 25显示目的TCP端口号为
wireshark过滤命令
justforme123的专栏
12-21 925
[协议名] contains 字符串(或16进制),eg: 比如查找sip协议包含某个事务的所有报文,这个事务id的末尾几位对应的十六进制为: 67:61:62:72,就可以用sip contains 67:61:62:72来找到。 对于http协议可以简单的用http contains baidu.com来过滤 ip.addr == 10.0.0.1 [Sets a filter f...
Wireshark CLI | 过滤包含特定字符串的流
7ACE的博客
05-04 1528
Wireshark CLI | 过滤包含特定字符串的流
使用wireshark过滤/查找协议里面的特定内容
Fems_123_的博客
06-24 1万+
一、使用wireshark命令过滤: 1.tcp的载荷:tcp contains "/api" 说明:在tcp报文中过滤出含有 /api 内容的报文; 如下图: 2.其它类型协议同理可以尝试: http contains "sense_version" 二、通过追踪流进一步查找自己需要的内容: 1.点击上面过滤的报文,右键选择对应的流,如下图: 2.在查找框中输入自己需要查询的内容: ...
wireshark部分过滤规则
曲终人散
12-08 521
http过滤 http.request.method == “GET” http.request.method == “POST” GET包 http.request.method == “GET” && http contains “Host: “ http.request.method == “GET” && http contains “User-Agent: “ POS
wireshark过滤器的使用
qalx9的博客
08-27 909
抓包采用 wireshark,提取特征时,要对 session 进行过滤,找到关键的stream,这里总结了 wireshark 过滤的基本语法,供自己以后参考。这里过滤我们还可以进行更精细的过滤,比如过滤出你想要的源ip或者是目标ip或者端口,这些都是同理。我们直接翻到最后这个请求数据库的包,那这个包大概率就是黑客进行爆破成功的包,会含有我们数据库的账号和密码。捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。
此时是手机刷快手极速版视频一直不加载,有哪些怀疑方向呢?又如何配合wireshark过滤分析呢?是不是三次握手没有建立成功导致?怎么查看呢?
03-13
<think>嗯,用户现在遇到了手机刷快手极速版视频一直不加载的问题,想知道可能的原因以及如何用Wireshark分析,特别是三次握手是否成功。首先,我需要回顾之前的历史对话,用户之前询问过如何抓包分析快手极速版的域名,现在问题升级到了具体的不加载情况。 用户可能的真实需求是解决视频加载失败的问题,但作为技术支持,需要引导他们通过技术手段排查原因。首先,我应该考虑常见的网络问题方向,比如网络连接、DNS解析、服务器问题、应用本身故障等。然后结合Wireshark的具体分析方法,指导用户如何一步步排查。 用户提到三次握手是否成功,这说明他们对网络基础有一定了解,但可能不清楚如何在Wireshark中验证这一点。需要详细说明如何过滤TCP SYN、SYN-ACK包,查看握手是否完成。同时,可能还有其他原因,比如TLS握手失败、HTTP请求错误等,这些也需要在分析中涵盖。 另外,用户之前已经学习过如何过滤HTTPS和HTTP流量,所以可能需要提醒他们使用类似的过滤命令,但这次要针对连接建立阶段。还需要注意新版应用可能使用HTTP/3或QUIC,这会影响抓包方法,可能需要更新Wireshark版本或使用特定插件。 在回答结构上,应该先列出可能的怀疑方向,再逐一解释如何用Wireshark分析,确保步骤清晰。同时,要考虑到用户的技术水平,避免使用过于专业的术语,但保持准确性。最后,注意事项部分需要包括法律合规性和操作建议,确保用户进行合法分析。</think>以下是针对「快手极速版视频加载失败」的排查思路及Wireshark分析方法,按优先级排序: --- ### **一、核心怀疑方向** 1. **网络连接异常** - 三次握手失败(TCP层问题) - TLS握手失败(HTTPS加密层问题) - DNS解析异常 2. **服务器响应错误** - HTTP 4xx/5xx状态码 - 视频CDN节点故障 3. **应用层异常** - 视频资源请求超时 - 鉴权失效(如token过期) - 协议版本不匹配(HTTP/2 vs HTTP/3) --- ### **二、Wireshark排查方法** #### **(1) 验证三次握手** ```wireshark 过滤命令:tcp.flags.syn == 1 && tcp.flags.ack == 0 # 抓取SYN包 ``` - **成功标志**: - 完整握手流程:`SYN → SYN-ACK → ACK` - 查看目标IP是否来自快手ASN(如`*.kuaishou.com`解析的IP) - **失败特征**: - 仅有SYN包无响应 → 网络阻断 - SYN-ACK后无ACK → 防火墙拦截 - `[RST]`标志 → 连接被重置 #### **(2) 检查TLS握手** ```wireshark 过滤命令:tls.handshake.type == 1 # Client Hello || tls.handshake.type == 2 # Server Hello ``` - 重点观察: - 是否存在`Certificate`报文(服务器证书) - 是否有`Alert`告警(如证书过期/域名不匹配) - SNI字段是否为快手域名(如`*.gifshow.com`) #### **(3) DNS解析验证** ```wireshark 过滤命令:dns # 查看所有DNS请求 ``` - 典型异常: - 响应码`NXDOMAIN`(域名不存在) - 响应延迟>200ms(DNS服务器性能差) - 解析到非常用IP(如`127.0.0.1`可能被劫持) #### **(4) HTTP请求分析** ```wireshark 过滤命令:http.request # 明文HTTP请求 || http.response # 响应分析 ``` - 关键字段: - `GET /api/feed`(视频流接口) - `Host: *.kuaishou.com`(域名验证) - `HTTP/2 206 Partial Content`(分段加载) --- ### **三、典型故障场景对照表** | 现象 | Wireshark特征 | 解决方案 | |-----------------------|---------------------------------------|-----------------------| | 持续加载转圈 | TCP重传>3次 || tcp.analysis.retransmission | 切换网络/CDN测试 | | 黑屏无数据 | HTTP 403/404 || http.response.code >=400 | 清除APP缓存 | | 播放卡在0% | 无`video/mp4` MIME类型响应 | 检查Content-Type头 | | 间歇性加载失败 | 存在`[TCP ZeroWindow]`流量控制 | 排查手机内存/CPU占用 | --- ### **四、高级排查技巧** 1. **统计图表分析** - `Statistics → TCP Stream Graphs → Round Trip Time` 查看RTT波动 - `Statistics → HTTP → Packet Counter` 统计错误请求比例 2. **QUIC协议检测** ```wireshark 过滤命令:quic # 针对HTTP/3流量 ``` - 验证`QUIC Version Negotiation`是否完成 3. **视频CDN检测** - 使用`geoip`插件验证CDN节点地理位置 - 检查`X-Cache: HIT`响应头(缓存命中状态) --- ### **五、注意事项** 1. 需在APP启动后立即开始抓包(避免遗漏初始化请求) 2. 建议同时抓取手机端`adb logcat`日志交叉验证 3. 若使用运营商网络,需排除MTU值不匹配问题(过滤`tcp.analysis.fragment`) 4. 遵守《个人信息保护法》,禁止分析加密视频内容本身 通过上述方法可准确定位到网络层(三次握手)、传输层(TLS)、应用层(HTTP)的具体故障点。若三次握手失败,通常伴随大量TCP重传包(过滤`tcp.analysis.retransmission`),此时应优先排查网络链路质量。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值