【wireshark】常用过滤规则
Wireshark是一款流行的网络协议分析工具,使用它可以捕获网络数据包,并对其进行分析。在Wireshark中,过滤规则是非常重要的,通过过滤规则可以快速定位和过滤关注的数据包
一、基础过滤规则
1、按IP地址过滤
ip.addr == x.x.x.x # 过滤指定IP地址的数据包 ip.src == x.x.x.x # 过滤源IP地址为指定IP地址的数据包 ip.dst == x.x.x.x # 过滤目的IP地址为指定IP地址的数据包
2、按协议过滤
tcp # 过滤TCP协议的数据包
udp # 过滤UDP协议的数据包
icmp # 过滤ICMP协议的数据包
3、按端口过滤
tcp.port == xx # 过滤指定TCP端口的数据包
udp.port == xx # 过滤指定UDP端口的数据包
4、按关键字过滤
http # 过滤HTTP协议的数据包
dns # 过滤DNS协议的数据包
二、高级过滤规则
1、比较运算符
tcp.len > xx # 过滤TCP数据长度大于xx的数据包 ip.len < xx # 过滤IP数据长度小于xx的数据包 frame.time_relative > xx # 过滤相对时间大于xx秒的数据包
2、逻辑运算符
ip.src == x.x.x.x && tcp.port == xx # 过滤源IP地址为x.x.x.x且TCP端口为xx的数据包 ip.src == x.x.x.x || ip.dst == x.x.x.x # 过滤源IP地址为x.x.x.x或目的IP地址为x.x.x.x的数据包 !(tcp.port == xx) # 过滤除TCP端口为xx之外的数据包
3、正则表达式
http.request.uri matches "xxx" # 过滤HTTP请求URI中包含xxx的数据包 dns.qry.name matches "xxx" # 过滤DNS查询域名中包含xxx的数据包
以上就是Wireshark的详细过滤规则介绍,如果您想更深入地了解Wireshark的过滤规则,可以查看Wireshark的官方文档。
参考链接:
(83条消息) wireshark最常用过滤规则_wireshark按时间过滤_程序猿Ricky的日常干货的博客-CSDN博客