Wireshark网络报文过滤深度指南

"Wireshark使用文档包含了有线和无线报文的过滤规则，涵盖了从基本的IP、端口过滤到复杂的HTTP模式过滤，以及针对特定协议如DNS、ICMPv6、DHCP和DHCPv6的过滤方法。用户可以根据这些规则筛选出所需的数据包进行分析。" Wireshark是一款强大的网络封包分析软件，它允许网络管理员和开发者深入查看网络通信的细节。本使用文档主要讲解了如何利用Wireshark的过滤功能来高效地定位和分析网络流量。 1. **有线报文过滤规则**: - **DNS报文过滤**: 可以通过`dns.qry.name==www.baidu.com`来过滤出所有与www.baidu.com相关的DNS查询。 - **ICMPv6 PING6报文过滤**: 使用`icmpv6.type==128||icmpv6.type==129`可以捕获ICMPv6 ping请求和响应。 - **ICMPv6 NS/NA报文过滤**: `icmpv6.type==135||icmpv6.type==136`可过滤出邻居发现协议中的报文。 - **ICMPv6 RS/RA报文过滤**: `icmpv6.type==133||icmpv6.type==134`用于筛选路由 Solicitation 和 Advertisements 报文。 - **DHCP/DHCPv6报文过滤**: `bootp`和`dhcpv6`分别对应有线网络的DHCP和IPv6的DHCPv6报文。 - **IP过滤**: 通过`ip.src.addr`和`ip.dst.addr`可以过滤源IP或目标IP地址。 - **端口过滤**: `tcp.port`, `tcp.srcport`和`tcp.dstport`可以过滤特定端口的TCP流量。 - **协议过滤**: 如`udp,arp,icmp,http,smtp,ftp,dns,msnms,ip,ssl`等，可以筛选特定协议的数据包，`!ssl`或`notssl`排除SSL包。 - **包长度过滤**: 如`udp.length`和`ip.len`可以根据包的总长度或数据部分长度进行过滤。 - **HTTP模式过滤**: 可以根据HTTP请求方法（GET、POST）和特定内容（如`Host:`或`User-Agent:`）进行过滤。 2. **无线报文过滤规则**: - **过滤指定MAC**: 可以根据MAC地址过滤无线报文。 - **无线报文类型过滤**: 通过报文类型筛选无线网络中的特定流量。 - **分析特定频率的包**: 可以针对特定频段的无线信号进行数据包分析。 这些过滤规则使得用户能够精确地定位网络问题，追踪特定通信行为，或者研究特定网络协议的行为。通过熟练运用Wireshark的过滤功能，可以大大提升网络故障排查和性能优化的效率。