Wireshark抓包过滤器UDP端口范围：语法示例

Wireshark抓包过滤器UDP端口范围：语法示例

【免费下载链接】wireshark Read-only mirror of Wireshark's Git repository at https://gitlab.com/wireshark/wireshark. ⚠️ GitHub won't let us disable pull requests. ⚠️ THEY WILL BE IGNORED HERE ⚠️ Upload them at GitLab instead. 项目地址: https://gitcode.com/gh_mirrors/wi/wireshark

什么是UDP端口范围过滤

在网络分析中，我们经常需要捕获特定端口范围内的UDP（User Datagram Protocol，用户数据报协议）流量。Wireshark提供了强大的过滤功能，允许我们精确指定要捕获的UDP端口范围，从而有效减少无关流量，专注于分析目标数据。

UDP端口范围过滤语法基础

Wireshark的抓包过滤器使用Berkeley Packet Filter（BPF）语法。对于UDP端口范围过滤，基本语法如下：

udp portrange <start_port>-<end_port>

其中，<start_port>是范围的起始端口，<end_port>是范围的结束端口。

常用UDP端口范围过滤示例

1. 捕获单个端口范围

捕获端口范围在1000到2000之间的UDP流量：

udp portrange 1000-2000

2. 组合多个端口范围

捕获端口范围在1000-2000和3000-4000之间的UDP流量：

udp portrange 1000-2000 or udp portrange 3000-4000

3. 排除特定端口范围

捕获除了2000-3000端口范围外的所有UDP流量：

udp not portrange 2000-3000

4. 结合IP地址过滤

捕获来自特定IP地址且端口范围在1000-2000之间的UDP流量：

udp portrange 1000-2000 and host 192.168.1.1

实际应用场景

1. 游戏流量分析

许多在线游戏使用UDP协议进行数据传输，且通常使用特定的端口范围。例如，捕获端口范围在3478-3480之间的UDP流量（常见的游戏语音聊天端口）：

udp portrange 3478-3480

2. 视频流分析

某些视频流应用使用UDP协议，如RTSP（Real Time Streaming Protocol）通常使用554端口，而其数据传输可能使用更高的端口范围。捕获RTSP控制端口及相关数据端口：

udp port 554 or udp portrange 6970-9999

相关资源

• 官方文档：doc/wsug_src/ChCaptureFilters.adoc
• 显示过滤器源码：epan/dfilter/
• 测试用例：test/suite_dfilter/
• 抓包工具源码：dumpcap.c

注意事项

• 端口范围必须是<start_port>小于等于<end_port>，否则过滤器将无法正常工作。
• Wireshark的抓包过滤器（Capture Filter）与显示过滤器（Display Filter）语法不同，本文介绍的是抓包过滤器语法。
• 对于更复杂的过滤需求，可以参考Wireshark的官方文档或使用test/suite_dfilter/中的测试用例进行学习。

【免费下载链接】wireshark Read-only mirror of Wireshark's Git repository at https://gitlab.com/wireshark/wireshark. ⚠️ GitHub won't let us disable pull requests. ⚠️ THEY WILL BE IGNORED HERE ⚠️ Upload them at GitLab instead. 项目地址: https://gitcode.com/gh_mirrors/wi/wireshark