常用的 Wireshark 过滤命令 – Chr1s

公告

这是一个分享网络安全领域技术和知识的网站

常用的 Wireshark 过滤命令

2024-9-06 23:25

|

|

546

416 字

|

3 分钟

本文最后更新于107 天前，其中的信息可能已经过时，如有问题可在评论区留言

一、基本过滤器

IP 地址过滤
ip.addr == 192.168.1.1
过滤源或目标 IP 地址为 192.168.1.1 的数据包。
源 IP 地址过滤
ip.src == 192.168.1.1
过滤源 IP 地址为 192.168.1.1 的数据包。
目标 IP 地址过滤
ip.dst == 192.168.1.1
过滤目标 IP 地址为 192.168.1.1 的数据包。

二、协议过滤器

TCP 过滤
tcp
过滤所有 TCP 数据包。
UDP 过滤
udp
过滤所有 UDP 数据包。
HTTP 过滤
http
过滤所有 HTTP 数据包。
DNS 过滤
dns
过滤所有 DNS 数据包。

三、端口过滤器

特定端口过滤
tcp.port == 80
过滤 TCP 端口为 80（HTTP）的数据包。
多个端口过滤
tcp.port in {80 443}
过滤 TCP 端口为 80 或 443（HTTP 或 HTTPS）的数据包。

四、状态和标志过滤器

TCP SYN 包
tcp.flags.syn == 1 && tcp.flags.ack == 0
过滤所有 TCP SYN 包（连接请求）。
TCP FIN 包
tcp.flags.fin == 1
过滤所有 TCP FIN 包（连接关闭请求）。

五、时间过滤器

时间范围过滤
frame.time >= "2023-09-01 12:00:00" && frame.time <= "2023-09-01 13:00:00"
过滤在特定时间范围内捕获的数据包。

六、其他过滤器

MAC 地址过滤
eth.addr == 00:11:22:33:44:55
过滤源或目标 MAC 地址为 00:11:22:33:44:55 的数据包。
IP 协议过滤
ip.proto == 6
过滤所有 TCP 数据包（IP 协议号为 6）。
特定数据包长度
frame.len < 100
过滤长度小于 100 字节的数据包。

七、组合过滤器

组合多个条件
ip.src == 192.168.1.1 && tcp.port == 80
过滤源 IP 地址为 192.168.1.1 且目标端口为 80 的数据包。

作者：Chr1s
本文版权归作者所有，未经允许，禁止转载、复制或以其他方式使用。若需引用或转载，请与作者联系。

暂无评论

发送评论编辑评论

悄悄话

|´・ω・)ノ

ヾ(≧∇≦*)ゝ

(☆ω☆)

（╯‵□′）╯︵┴─┴

￣﹃￣

(/ω＼)

∠( ᐛ 」∠)＿

(๑•̀ㅁ•́ฅ)

→_→

୧(๑•̀⌄•́๑)૭

٩(ˊᗜˋ*)و

(ノ°ο°)ノ

(´இ皿இ｀)

⌇●﹏●⌇

(ฅ´ω`ฅ)

(╯°A°)╯︵○○○

φ(￣∇￣o)

ヾ(´･･｀｡)ノ"

( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃

(ó﹏ò｡)

Σ(っ °Д °;)っ

( ,,´･ω･)ﾉ"(´っω･｀｡)

╮(╯▽╰)╭

o(*////▽////*)q

＞﹏＜

( ๑´•ω•) "(ㆆᴗㆆ)

颜文字

Emoji

小恐龙

花!