Wireshark过滤教程：解析规则与实践应用

"Wireshark过滤规则及使用方法" Wireshark是一款强大的网络封包分析软件，用于捕获和分析网络通信数据。它允许用户深入理解网络流量，并能通过过滤规则来筛选出特定的网络通信信息。以下是Wireshark过滤规则的详细说明： 1. **过滤IP** - 使用`ip.srceq`或`ip.dsteq`来过滤源IP或目标IP。例如，`ip.srceq192.168.1.107`将显示所有来源IP为192.168.1.107的数据包，而`ip.dsteq192.168.1.107`则筛选目标IP为该地址的数据包。 - `ip.addreq`可以同时过滤源IP和目标IP，如`ip.addreq192.168.1.107`。 2. **过滤端口** - `tcp.porteq`或`tcp.port==`用于过滤TCP端口，如`tcp.porteq80`将显示所有TCP端口80的通信。 - `tcp.dstport`和`tcp.srcport`分别用于过滤目标端口和源端口，如`tcp.dstport==80`只显示TCP目标端口为80的数据包，`tcp.srcport==80`则只显示源端口为80的数据包。 - 可以使用`or`操作符结合多个端口，如`tcp.porteq80orudp.porteq80`将显示TCP或UDP端口80的通信。 3. **过滤协议** - 你可以直接输入协议名称来过滤，例如`tcp`、`udp`、`arp`、`icmp`等，这将显示对应协议的所有数据包。 - 使用`!`或`not`排除特定协议，例如`!arp`或`notarp`将排除ARP协议的数据包。 4. **过滤MAC地址** - `eth.dst`和`eth.src`用于过滤以太网帧的目标MAC和源MAC地址，如`eth.dst==A0:00:00:04:C5:84`过滤目标MAC为指定地址的数据包。 - 可以使用`eq`、`le`、`lt`、`ge`、`gt`、`ne`等比较操作符，例如`eth.srceqA0:00:00:04:C5:84`过滤源MAC等于指定地址的数据包。 5. **包长度过滤** - `udp.length`、`tcp.len`和`ip.len`分别用于过滤UDP、TCP和IP层的长度。 - 例如，`udp.length==26`筛选长度为26的UDP数据包（包括8字节的UDP头），`tcp.len>=7`表示筛选TCP负载长度大于或等于7字节的数据包。 - `frame.len`则用于过滤整个数据包的长度，如`frame.len==119`筛选长度为119字节的数据包。 除了以上过滤规则，Wireshark还支持更复杂的逻辑组合，如使用`and`、`or`、`not`等操作符，以及正则表达式来构建更精确的过滤条件。这些过滤规则极大地提高了分析网络流量的效率，帮助用户快速定位问题或监控特定网络活动。在实际使用中，用户可以根据需要灵活组合这些规则，以满足特定的分析需求。