wireshark 过滤器 过滤规则

最新推荐文章于 2025-11-05 15:38:42 发布
原创 最新推荐文章于 2025-11-05 15:38:42 发布 · 2.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Wireshark中的两种过滤器:抓包过滤器和显示过滤器。抓包过滤器用于筛选网络流量,而显示过滤器则用于查看和分析已捕获的数据包。文章还列举了一些常用的过滤规则,并解释了如何保存这些规则以便于再次使用。

wireshark 过滤器

wireshark有两种过滤器,一种是抓包过滤器,一种是显示过滤器,注意两种过滤器的过滤规则不一样
抓包过滤器定义得当,就可以抓少量的包而达到目的,抓的包太多,wireshark会卡顿。

抓包过滤器

抓包过滤器,顾名思义是用来抓包的,抓包过滤器抓取数据包,显示过滤器过滤前者抓取的数据包。所以抓取过滤器的好坏也影响着显示效果。抓取过多无用的包,会造成wireshark卡顿。如果少抓或漏抓又满足不了需求。所以,抓包过滤规则至关重要。

抓包设置

capture—-options—-capture filters输入框,输入过滤规则,比如只抓取淘宝登录的包 host login.taobao.com ,点击start就开始抓包了。

这里写图片描述

预定义抓包规则

上一步骤,抓包成功。那我下次抓取淘宝的数据包,是不是还得输入一遍?当然不用,wireshark给我们提供了预定义规则暂存功能,免去重复输入的烦恼。
点击capture Filter——>new,输入过滤器名字和过滤规则,点击ok。这样以后想用的时候,直接调用就可以了。

这里写图片描述

有的时候,我想看看预定义的规则,那么capture—->capture filters即可。

这里写图片描述

这里写图片描述

常用抓包规则

来源或目的地是指定地址的包

host 192.168.0.123
host www.taobao.com

范围内的包

net 192.168.0.0/24

or

net 192.168.0.0 mask 255.255.255.0

抓取目的地是某范围的包

dst net 192.168.0.0/24

or

dst net 192.168.0.0 mask 255.255.255.0

抓取来源是某范围的包

src net 192.168.0.0/24

or

src net 192.168.0.0 mask 255.255.255.0

仅抓取DNS(端口是53)的包

port 53

更多样例可参考,抓包过滤器样例

显示过滤器

显示设置

在主界面filter输入框内,直接输入,点击apply。比如,只显示本地发出去的包

ip.src==192.168.8.60

过滤前
这里写图片描述

过滤后
这里写图片描述

常用显示规则

过滤从某地址发出的请求

ip.src==192.168.8.60

过滤发送到某地址的请求

ip.dst==192.168.8.60

过滤http协议

http

过滤某地址

http.request.uri=="/projectname/a.html"

过滤全地址(它与uri的区别是,包含host)

http.request.full_uri=="www.mydomain.com/projectname/a.html"
预定义显示规则

这里写图片描述
这里写图片描述

更多过滤规则,点击expression就可以显示
这里写图片描述

wangjun5159
关注
WireShark过滤器
ngczx的博客
10-11 2030
Wireshark过滤器规则可以分为**捕获过滤器**和**显示过滤器**,这两种过滤器有不同的编写规则
wireshark过滤器的使用
天赐好车的博客
06-18 349
wireshark过滤器的使用
wireshark 过滤规则
07-13
如何通过wireshark 设置过滤规则
WireShark过滤规则
马赛克的博客
12-06 1693
一:介绍 Wireshark是一款强大的抓包软件,其中过滤规则最主要分为两部分 一部分是抓包之前的过滤规则,另一部分是抓完包之后的过滤规则 分别对应下面两张图的对应规则填写位置 如果符合对应的规则那么就会显示成为绿色,否则的话就是红色 二:抓包过滤器 抓包过滤器的语法是BPF过滤规则的语法 ,这个语法被广泛应用于多种数据包的嗅探软件,因为大多数的的软件都是基于libpacp/W...
常用的9类Wireshark 常用过滤器详解,收藏!!!
最新发布
2401_85280106的博客
11-05 604
图片中列出的 Wireshark 常用过滤器的详细说明.Wireshark 过滤器tcp or udp显示所有 HTTP GET 请求包。显示所有 TLS 握手包。文章来自网上,侵权请联系博主:如果你想学习更多网安方面的知识和工具,可以看看以下题外话!
wireshark过滤规则
知道不_zkl的博客
06-04 1274
​  转载自https://blog.youkuaiyun.com/a2657222/article/details/7820036  首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!” 和 “not” 都表示取反。 一,针对地址的过滤   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。    ...
Wireshark过滤规则
陪我养猪吧的博客
08-14 2696
查看dhcp包,并且只想看某台电脑的dhcp包。查看除了arp以外的其他包。查看dhcp或者arp包。
wireshark过滤器
03-17
Wireshark过滤器是网络分析工具Wireshark中的一个重要特性,它允许用户高效地筛选和查看网络通信数据。Wireshark是一款开源的网络封包分析软件,广泛用于网络故障排查、安全审计和协议开发等领域。通过使用过滤器,...
wireshark 过滤器规则
fitpolo
09-21 7601
wireshark 过滤器规则 wireshark 过滤器规则 wireshark 过滤器规则 wireshark 过滤器规则
Wireshark过滤器表达式的规则
Mr.horse的博客
11-30 1546
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。ICMP,只显示ICMP协议的数据包列表。
Wireshark过滤规则.docx
05-28
Wireshark是一款强大的网络封包分析软件,常被网络管理员用于网络故障排查、性能分析以及安全审计。...在使用时,注意检查过滤表达式的语法,确保过滤器输入框显示绿色表示过滤规则有效。如果输入错误,框会变为红色。
Wireshark 过滤规则
书香水墨
08-20 1194
一、显示过滤 1.1 IP过滤 1)不区分来源 ip.addr == 10.70.43.219 //抓取来自10.70.43.219的包 ip.addr != 10.70.43.219 //抓取不是来自10.70.43.219的包 2) 源IP ip.src == 192.168.0.208(ip.src eq 192.168.0.208) //来源等于某个ip ip.src != 192.1...
wireshark 过滤器
05-18
### Wireshark 过滤器的使用方法与语法 Wireshark 是一种强大的网络协议分析工具,其过滤功能可以帮助用户快速筛选和定位特定的数据包。Wireshark过滤器主要分为两种类型:捕获过滤器 (Capture Filter) 和显示过滤器 (Display Filter),每种类型的过滤器都有不同的用途和编写规则。 #### 捕获过滤器 (Capture Filter) 捕获过滤器用于在网络接口级别定义哪些数据包会被捕捉到。它基于 Berkeley Packet Filter (BPF) 语法实现。常见的捕获过滤器示例如下: - 捕获所有来自或发往 IP 地址 `192.168.1.1` 的数据包: ```bash host 192.168.1.1 ``` - 捕获目标地址为 `192.168.1.1` 的数据包: ```bash dst host 192.168.1.1 ``` - 捕获源地址为 `192.168.1.1` 的数据包: ```bash src host 192.168.1.1 ``` - 捕获指定端口号上的 TCP 数据流(如 HTTP 流量): ```bash tcp port 80 ``` 这些命令可以直接在启动 Wireshark 或 tshark 命令行工具时通过 `-f` 参数传递[^1]。 --- #### 显示过滤器 (Display Filter) 显示过滤器的作用是在已经捕获的数据包集合中进一步筛选感兴趣的内容。它的语法更加灵活,支持多种字段名称以及逻辑运算符组合。以下是几个典型的显示过滤器示例及其解释: - 只显示涉及 `TCP` 协议的数据包: ```plaintext tcp ``` - 只显示目标端口为 `80` 的数据包: ```plaintext tcp.dstport == 80 ``` - 只显示源 IP 地址为 `192.168.1.1` 的数据包: ```plaintext ip.src == 192.168.1.1 ``` - 同时满足目标端口为 `80` 并且源 IP 地址为 `192.168.1.1` 的数据包: ```plaintext tcp.dstport == 80 && ip.src == 192.168.1.1 ``` - 排除 DNS 查询响应的数据包: ```plaintext !dns.flags.response == 1 ``` 当输入有效的显示过滤器表达式后,如果语法无误,则过滤框会变成绿色;如果有错误,则会变红并提示具体问题所在位置[^2]。 对于更复杂的场景,还可以利用括号来控制优先级顺序,比如下面这个例子展示了如何找到既属于某个子网又运行 HTTPS 的设备发出的所有请求: ```plaintext (ip.net == 192.168.1.0/24) && (tcp.port eq 443) ``` 以上提到的操作符包括但不限于等于 (`==`)、不等于 (`!=`)、大于 (`>`)、小于 (`<`) 等比较运算符,还有布尔逻辑中的 AND (`&&`) OR (`||`) NOT (`!`) 等连接词[^3]。 --- ### 小结 无论是初学者还是高级用户,在日常工作中合理运用这两种不同层次上的过滤机制能够极大提升效率。掌握基本概念之后就可以尝试构建适合自己需求的具体查询语句了。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值