wireshark过滤包速查

wireshark过滤包速查

常用过滤语句

前面加!号代表去除该包。

例如:!http表示不选取http的包

src代表源端口,dst代表目的端口

ip.addr == 192.168.1.1过滤ip地址为192.168.1.1的包

ip.dst == 192.168.1.1 过滤ip目的地址为192.168.1.1的包

ip.src == 192.168.1.1 过滤ip源ip地址为192.168.1.1的包

tcp  过滤tcp的包

tcp.port == 80 过滤端口为80的包

udp过滤udp的包

arp 过滤arp的包

http http2 过滤http、http2的包





在wireshark主页中有捕获菜单栏,里面有选项,下面的过滤规则大部分是针对它的

    ether host <Ethernet host>让wireshark只抓取源于或发往由标识符Ethernet host所指定的以太网主机的以太网帧

ether dst <Ethernet host> 目的mac地址
ether src <Ethernet host> 源MAC地址
ether broadcast 让wireshark只抓取所有以太网广播流量
ether multicast 让wireshark只抓取所有以太网多播流量
ether proto <protocol> 所抓以太网流量的以太网协议类型编号,与标识符<protocol>所定义的以太网协议类型编号相匹配
vlan <vlan_id>让wireshark只抓取有标识符<vlan_id>所指定的vlan的流量


ip 只抓取ipv4地址的包
ip6 只抓取ipv6地址的包
host <host>  让wireshark只抓取源于或发往由标识符host所指定的主机名或IP地址的流量
dst host <host> 让wireshark只抓取发往由标识符host所指定的主机名或IP地址的流量
src host <host> 让wireshark只抓取源于由标识符host所指定的主机名或IP地址的流量
gateway <host> 让wireshark只抓取穿host而过的流量
net <net> 让wireshark只抓取源于或发往由标识符net所标识的IPv4/IPv6网络号的流量
dst net <net> 发往的
src net <net> 源于的
net <net> mask <netmask> 让wireshark只抓取源于或发往由标识符net和mask共同指明的IPv4网络号的流量(对ipv6流量无效)
dst <net> mask <netmask> 发往的
src <net> mask <netmask> 源于的
net <net>/<len> 让wireshark只抓取源于或发往由标识符
dst net <net>/<len> 发往的

src net <net>/<len> 源于的


broadcast让wireshark只抓取IP广播包
multicast让wireshark只抓取IP多播包
ip proto <protocol code> 让wireshark只抓取IP包头的协议类型字段值等于特定值(等于由标识符proto所指明的protocol code[协议代码]值)的数据包。
 IP数据包种类繁多,随IP包头的协议类型字段值而异,比如,TCP数据包(协议类型字段值为6)、UDP数据包(协议类型字段值为17)和ICMP数据包(协议类型字段值等于1)等。
ip6 proto <protocol>让Wireshark只抓取IPv6(主)包头中下一个包头字段值等于特定值(等于由标识符proto所指明的protocol值)的IPv6数据包。请注意,无法使用该原词根据IPv6扩展包头链中的相关字段值来执行过滤
icmp[icmptype]==<identifier> 让wireshark只抓取特定类型[icmptype]的ICMP数据包,<identifier>表示的是ICMP头部中的类型字段值,比如,0(ICMP echo reply数据包) 或8(ICMP echo request数据包)等


ip multicast 用来抓取IP多播数据包
ip broadcast 用来抓取IP广播数据包
ip[2:2] == <number> 用来抓取特定长度的IP数据包(number表示IP包头中的IP包总长度字段值)
ip[8] == <number>用来住区具有特定TTl(生存时间)的IP数据包(number表示IP包头中的TTL字段值)

(ip[12:4] == 1 ip[16:4]) 表示数据包的源和目的IP地址相同

tcp [tcpflags] & (tcp-syn | tcp-fin) != 0 让wireshark只抓所有TCP连接中用来发起(SYN标记位置1)连接或终止连接(FIN标记位置1)的数据包(TCP连接属于全双工连接,客户端与服务器之间会建立双向连接。也就是说,建立TCP连接时,客户端想服务器发起连接之后,服务器也会想客户端发起连接,终止连接亦然),抓包过滤器应如此设置。

tcp [tcpflags] & (tcp-rst) != 0 让wireshark只抓所有RST标记位置1的TCP数据包。

tcp portrange 2000-5000 只抓源或目的端口范围在2000到5000之间的TCP数据包



版权声明:本文为bt517840374原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。