Wireshark过滤语法指南

"WireShark过滤语法文档涵盖了网络抓包工具Wireshark中关于过滤表达式的使用方法，包括IP过滤、端口过滤、协议过滤、MAC地址过滤、包长度过滤以及HTTP模式过滤等多个方面，旨在帮助用户高效地分析和筛选捕获到的网络流量数据。" Wireshark是一款强大的网络封包分析软件，它允许用户捕获并深入分析网络通信数据。在处理大量数据时，使用过滤器可以快速定位特定的通信流或数据包。以下是对提供的过滤语法的详细解释： 1. **IP过滤**： - 使用`ip.src eq <IP>`或`ip.dst eq <IP>`可以过滤出源IP或目标IP为指定IP的数据包。 - `ip.addr eq <IP>`则同时过滤源IP和目标IP。 2. **端口过滤**： - `tcp.port eq <PORT>`或`udp.port eq <PORT>`用于过滤TCP或UDP协议的特定端口号。 - `tcp.dstport eq <PORT>`和`tcp.srcport eq <PORT>`分别针对TCP协议的目标端口和源端口。 - 过滤端口范围可使用`tcp.port >= <START_PORT> and tcp.port <= <END_PORT>`。 3. **协议过滤**： - 直接输入协议名称，如`tcp`、`udp`、`arp`、`icmp`等，可过滤特定协议的数据包。 4. **MAC地址过滤**： - `eth.dst eq <MAC>`和`eth.src eq <MAC>`分别过滤目标MAC和源MAC地址。 - `eth.addreq <MAC>`过滤来源MAC和目标MAC都等于指定MAC的数据包。 5. **包长度过滤**： - `udp.length eq <LENGTH>`筛选UDP负载的总长度。 - `tcp.len >= <LENGTH>`或`ip.len eq <LENGTH>`根据TCP或IP数据包的长度进行过滤。 6. **HTTP模式过滤**： - `http.request.method == "GET"`或`"POST"`筛选HTTP请求的方法。 - `http.request.uri == "<URI>"`查找特定的URI请求。 - `http contains <STRING>`搜索HTTP数据包中包含的字符串，如"GET"或"HTTP/1."。 这些过滤表达式可以帮助网络管理员、开发者和安全专家快速定位网络问题，分析应用性能，或监控特定通信模式。通过熟练掌握Wireshark的过滤语法，用户能够更有效地管理和理解网络流量，从而提高工作效率。