Wireshark 常用过滤器

 ​Wireshark 常用过滤器大全，贴合工作实际，涵盖网络排查、安全分析、协议调试等高频需求，助你快速定位问题：

---

一、基础过滤

1. ​IP/端口过滤

ip.addr == 192.168.1.100       # 所有涉及该IP的流量（源或目标）
ip.src == 10.0.0.1             # 来源IP为10.0.0.1
ip.dst == 8.8.8.8              # 目标IP为DNS服务器
tcp.port == 443                # TCP端口为HTTPS
udp.port == 53                 # UDP端口为DNS
!(arp or icmp)                 # 排除ARP和ICMP干扰

2. ​协议过滤

http          # HTTP协议
dns           # DNS查询/响应
ssh           # SSH加密流量
smb           # 文件共享协议（SMB）
icmp          # Ping包、网络探测

---

二、网络故障排查

1. ​连通性问题

tcp.flags.syn == 1 && tcp.flags.ack == 0  # 仅显示TCP SYN握手包（检测握手失败）
tcp.analysis.retransmission               # TCP重传包（网络延迟或丢包）
tcp.analysis.zero_window                  # 接收端窗口为0（流量拥塞）
icmp.type == 3                             # ICMP目标不可达（路由问题）

2. ​DNS解析问题

dns.flags.rcode != 0          # DNS响应错误（如NXDOMAIN）
dns.qry.name contains "baidu" # 查询包含"baidu"的DNS请求
dns.resp.len > 1000           # 过大的DNS响应（可能为劫持）

3. ​HTTP/HTTPS调试

http.request.method == "POST"       # 过滤POST请求（如登录、上传）
http.response.code == 404           # 显示404错误响应
http.content_type contains "json"   # 抓取JSON格式数据
ssl.handshake.type == 1             # TLS Client Hello（HTTPS协商过程）

---

三、安全分析

1. ​恶意流量检测

tcp.flags.reset == 1 && tcp.port == 22  # SSH暴力破解（大量RST包）
smb2.cmd == 5                          # SMB文件删除操作（勒索软件行为）
http.request.uri contains "cmd.exe"     # 可疑URI（命令执行攻击）
dns.qry.type == 255                     # ANY类型DNS查询（DDoS反射攻击）

2. ​内网渗透痕迹

kerberos          # Kerberos协议（域渗透流量）
ntlmssp           # NTLM认证（破解尝试）
smb.create.action == 2  # SMB文件创建（横向移动）
arp.dst.hw_mac == 00:11:22:33:44:55  # ARP欺骗（MAC地址伪造）

3. ​异常行为监控

tcp.payload ~ "SELECT * FROM"  # SQL注入特征（需结合协议）
udp.length > 1000               # 大UDP包（可能为隧道流量）
frame.time_delta < 0.1          # 高频数据包（DDoS、端口扫描）

---

四、性能优化

1. ​流量瓶颈分析

tcp.analysis.window_update    # TCP窗口更新（流量控制）
tcp.len > 1400                # 大TCP数据包（MTU问题）
tcp.time_delta > 1            # 包间隔超1秒（应用延迟）

2. ​VoIP/视频质量

rtp            # RTP语音/视频流
rtcp           # RTCP控制协议
rtp.p_type == 0 && rtp.ssrc == 0x12345678  # 指定SSRC的音频流

---

五、高级技巧

1. ​组合条件

(ip.src == 192.168.1.100 && tcp.port == 80) || (ip.dst == 10.0.0.1 && udp.port == 53)

2. ​数据包内容匹配

tcp.payload contains "admin"        # TCP负载包含关键词
http.file_data matches "\\x89PNG"   # 匹配二进制特征（如图片）

3. ​时间范围过滤

frame.time >= "2023-10-01 09:00:00" && frame.time <= "2023-10-01 10:00:00"

---

六、实用场景速查表

​场景	​过滤器示例
抓取所有登录请求	http.request.uri contains "login"
分析数据库查询	mysql.query contains "SELECT"
检测内网ARP欺骗	arp.duplicate-address-detected
定位大文件传输	tcp.len > 1000 && tcp.port == 445
抓取VPN流量	`udp.port == 500
分析Wi-Fi认证问题	eapol (802.1X认证协议)

---

七、调试辅助技巧

1. ​右键提取字段：在数据包详情中右键字段 → ​Apply as Filter 快速生成过滤条件。
2. ​标记关键流量：使用 ​Ctrl+鼠标点击 数据包 → 右键标记颜色（如红色标记攻击流量）。
3. ​统计工具：Statistics > Protocol Hierarchy 查看流量占比，辅助定位异常协议。

     掌握这些过滤器，可覆盖 ​80% 以上的日常工作场景，建议保存为快捷过滤模板或导出为配置文件（Filter Expressions）随时调用。