wireshark 过滤分析

最新推荐文章于 2025-10-17 15:41:17 发布
原创 最新推荐文章于 2025-10-17 15:41:17 发布 · 5.7k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍Wireshark中各种过滤器的使用方法,包括IP、端口、协议、包长度、HTTP模式过滤等,帮助读者掌握精确抓取和显示网络数据包的技巧。

一、IP过滤:包括来源IP或者目标IP等于某个IP

比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP


二、端口过滤:

比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port <= 80


三、协议过滤:

tcpudp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl


四、包长度过滤:

比如:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后


五、http模式过滤:

例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包包含某头字段
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包包含某头字段
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 响应包包含某头字段
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”


六、连接符

   and / or


七、表达式:

!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)


八、wireshark filter contains 过滤器的用法

 

1.expert.message是用来对info信息过滤,主要配合contains来使用

2.过滤TCP协议端口5000,且TCP数据中包含有连续的数据:0x00 00 02 00 00 00 00 01 的正确写法如下:

tcp.port==5000 and tcp contains 00-00-02-00-00-00-00-01
不能写为:   tcp.port==5000 and tcp.data contains 0000020000000001
也不能写为: tcp.port==5000 and tcp contains "00-00-02-00-00-00-00-01"
也不能写为: tcp.port==5000 and tcp contains 0x000002

130604:
可以用:ip.addr == 192.168.0.191 && tcp.port==5000 &&   tcp  contains a7-d8-c1
可以用:ip.addr == 192.168.0.191 && tcp.port==5000 &&   data contains a7-d8-c1
不能用:ip.addr == 192.168.0.191 && tcp.port==5000 &&   tcp.data contains a7-d8-c1

九、抓取过滤规则

9.1 只抓取HTTP报文

tcp port 80

解析:上面是只抓取tcp 协议中80端口的包,大部分Web网站都是工作在80端口的,如果碰到了81端口呢?可以使用逻辑运算符or呗!如 tcp port 80 or tcp port 81

9.2 .只抓取arp报文

ether proto 0x0806

解析:ether表示以太网头部,proto表示以太网头部proto字段值为0x0806,这个字段的值表示是ARP报文,如果的ip报文此值为0x8000

9.3 只抓取与某主机的通信

host www.cnblogs.com

只抓取和博客园服务器的通信,src表示源地址,dst表示目标地址

十、显示过滤规则

只是将已经抓取到的包进行过滤显示。

在下方的输入框添入相应的规则点击apply即可,如果需要清除这一次的显示过滤点击Clear即可

1.只显示HTTP报文

tcp.port == 80

2.只显示ARP报文

eth.type == 0x806

3.只显示与某主机的通信

ip.addr == 42.121.252.58

 

WireShark过滤
m0_49476241的博客
09-08 2138
No.:数据包顺序Time:数据包到达时间Source:数据包发送方地址:数据包接收方地址Protocol:通信协议Length:数据包大小Info:简要说明。
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 4396
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
wireshark过滤源IP和目的IP,Wireshark 抓包过滤命令大全!
wangluo12138的博客
10-17 1192
Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
wireshark 过滤规则
07-13
如何通过wireshark 设置过滤规则
wireshark过滤语法总结
热门推荐
cumirror的专栏
12-09 19万+
做应用识别这一块经常要对应用产生的数据流量进行分析。 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤。 对标准协议,既支持粗粒度的过滤如HTTP,也支持细粒度的、依据协议属性值进行的过滤如tc
二.wireshark过滤[如何过滤信息]
黑日里不灭的light
01-04 2万+
一.参数过滤 1.捕获过滤器 解释:该过滤是为了在抓包时筛选出符合指定规则的包,其余包直接丢弃不会抓,该规则同scapy中的sniff(filter='过滤')一样 1.1 语法 语法:<Protocol> <Direction> <Host(s)> < Value> < Logical Operations> <Other expression> 1.2 详细 详细: Protocol(协议): ether, ip,arp, tc
Wireshark网络抓包(二)——过滤
weixin_30834019的博客
02-04 544
一、捕获过滤器 选中捕获选项后,就会弹出下面这个框,在红色输入框中就可以编写过滤规则。 1)捕获单个IP地址 2)捕获IP地址范围 3)捕获广播或多播地址 4)捕获MAC地址 5)捕获所有端口号 6)捕获特定ICMP数据 当网络中出现性能或安全问题时,将会看到ICMP(互联网控制消息协议)。 在这种情况下,用户必须使用一个偏移量表示一个ICMP中...
Wireshark过滤
GY_1202的博客
06-10 8267
wireshark两种数据过滤方式:捕获过滤器、显示过滤器。
一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 5万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
wireshark过滤
03-17
Wireshark过滤器是网络分析工具Wireshark中的一个重要特性,它允许用户高效地筛选和查看网络通信数据。Wireshark是一款开源的网络封包分析软件,广泛用于网络故障排查、安全审计和协议开发等领域。通过使用过滤器,...
这些Wireshark过滤条件,让你的Wireshark网络分析变得更加高效
程序员野蛮成长
08-12 1051
Wireshark 是一款开源网络数据包分析工具,可以用于捕获、分析和调试网络数据包。在使用 Wireshark 进行数据包分析时,常常需要使用过滤条件来过滤数据包,以便查找特定的数据包或者分析网络性能。
Wireshark过滤器说明文档中文版
03-02
Wireshark 过滤器说明文档中文版 Wireshark 过滤器是 Wireshark 和 TShark 中的一个强大功能,能够帮助...Wireshark 过滤器是 Wireshark 和 TShark 中一个非常强大和灵活的功能,能够帮助用户快速地查找和分析数据包。
Wireshark——过滤器设置
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
Wireshark抓包过滤
mayue_web的博客
05-07 1万+
简介 Wireshark是windows下的抓包工具。 本篇主要记录捕获表达式和过滤表达式,方便后面使用和参考。 Wireshark工具介绍可参考:https://www.cnblogs.com/doit8791/p/5730595.html 捕获过滤器 使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。 过滤器会帮助我们在大量的...
wireshark常用过滤命令
教Linux的李老师
06-24 1万+
wireshark常用过滤命令
Wireshark内容过滤方法
情义唯真,友谊方长存
02-23 2万+
关键字说明: “eq” 和 “==”表示等同,and” 表示并且,“or”和“||”表示或者。“!” 和 “not”表示取反。过滤方法: 一、针对IP地址的过滤。   (1)源地址    表达式为:ip.src == 192.168.0.1    ip.src == 10.230.0.0/16 显示来自10.230网段的封包。   (2)目的地址
【网络】WireShark过滤 | WireShark实现TCP三次握手和四次挥手
康师傅没有眼泪
01-29 8191
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
Wireshark过滤规则
数字世界让我们灵魂永存
09-19 2755
编者注:由于该文章本人进行了简单整理,又忘了文章出处,暂定为原创。若它属于你的劳动果实,请谅解并告知! 一、IP过滤:包括来源IP或者目标IP等于某个IP 比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.
Wireshark应用
00's Blog
01-03 3176
1. 过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2. 过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80
如何通过Wireshark过滤分析TCP三次握手异常?
最新发布
10-23
<think>嗯,用户想要查找Wireshark过滤分析TCP三次握手异常的方法。之前给出的引用里提到TCP三次握手丢包问题,用户可能正在排查网络故障,需要具体的技术指导。 用户提供的两个引用很有价值。引用1详细描述了三次握手的三种丢包场景,这正是用户关心的核心问题;引用2展示了Wireshark的DNS过滤技巧,其语法结构可以借鉴到TCP分析中。不过用户明确表示这些引用仅供参考,重点还是上次的问题和回答记录。 翻看对话历史,发现用户对技术细节要求很高,之前特别强调过LaTeX格式和引用规范。这次提问虽然简短,但隐含了三个关键需求:异常场景分类(SYN/SYN-ACK/ACK丢包)、对应过滤表达式、结果分析方法。需要把专业内容转化成实用步骤。 注意到引用1用"大白鲨"比喻Wireshark很生动,可以保留这个比喻增加可读性。技术层面要重点说明: - SYN丢包用`tcp.flags.syn==1 and tcp.flags.ack==0 and !tcp.analysis.retransmission`捕捉首次请求 - 超时重传机制需要配合时间筛选 - 快速重传场景要对比Seq序号 用户可能是运维或开发人员,语气比较急切,回复应该直接切入主题。最后补充的拓展问题特意选了协议原理(如SYN Flood防御)和实战技巧(如IO图表),这样既解答当前问题,又预留了深入学习入口。 </think>以下是针对TCP三次握手异常的Wireshark过滤分析方法,结合实战场景说明: ### 一、基础过滤指令(核心场景) | **异常场景** | **过滤表达式** | **分析要点** | |----------------------|-------------------------------------------------------------------------------|------------------------------------------| | **第一次握手SYN丢包** | `tcp.flags.syn==1 and tcp.flags.ack==0 and !tcp.analysis.retransmission` | 筛选未重传的初始SYN包,观察是否无响应[^1] | | **第二次握手丢包** | `tcp.flags.syn==1 and tcp.flags.ack==1 and tcp.analysis.retransmission` | 定位重传的SYN-ACK包(服务器端重传)[^1] | | **第三次握手ACK丢包** | `tcp.seq==1 and tcp.ack==1 and tcp.len==0 and tcp.analysis.retransmission` | 捕获客户端重传的ACK包 | ### 二、高级排查技巧 1. **超时重传分析** ```wireshark tcp.analysis.retransmission && (tcp.flags.syn==1 || tcp.flags.ack==1) ``` - 显示所有SYN/SYN-ACK/ACK的重传包 - 统计`Delta time`列判断重传间隔(典型值:1s/3s/7s) 2. **连接建立失败定位** ```wireshark !(tcp.flags.fin==1 || tcp.flags.rst==1) && tcp.analysis.retransmission ``` - 过滤从未完成握手的异常流 3. **快速重传检测** ```wireshark tcp.analysis.fast_retransmission && tcp.seq==0 ``` - 识别因连续丢包触发的SYN快速重传 ### 三、实战分析流程 1. **捕获完整流量** 启动Wireshark捕获时勾选`Enable network name resolution`解析IP 2. **定位问题流** ```wireshark tcp && (ip.addr == client_ip && ip.addr == server_ip) ``` 添加时间列(`Time since previous packet`)观察握手时序 3. **异常诊断** - **SYN无响应**:客户端持续重传SYN→检查防火墙/路由 - **SYN-ACK重传**:服务端未收到ACK→抓包对比两端流量 - **ACK丢失**:连接半开启→检查`netstat -s | grep "packet reassembles failed"` > **注**:需配合**统计→TCP流图**可视化握手过程,异常流会显示中断的箭头[^2]。 --- ### 相关问题 1. 如何用Wireshark过滤分析TCP连接中的**SYN Flood攻击**? 2. **TLS握手失败**在Wireshark中如何通过过滤表达式快速定位? 3. 为什么Wireshark显示TCP校验和错误?如何区分**真实错误**与**校验和卸载**导致的伪错误?
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值