wireshark过滤器

Wireshark软件使⽤教程Wireshark软件使⽤教程Wireshark是⾮常流⾏的⽹络封包分析软件，可以截取各种⽹络数据包，并显⽰数据包详细信息。

常⽤于开发测试过程各种问题定位。

本⽂主要内容包括：1、Wireshark软件下载和安装以及Wireshark主界⾯介绍。

2、WireShark简单抓包⽰例。

通过该例⼦学会怎么抓包以及如何简单查看分析数据包内容。

3、Wireshark过滤器使⽤。

通过过滤器可以筛选出想要分析的内容。

包括按照协议过滤、端⼝和主机名过滤、数据包内容过滤。

Wireshark软件安装软件下载路径：。

按照系统版本选择下载，下载完成后，按照软件提⽰⼀路Next安装。

如果你是Win10系统，安装完成后，选择抓包但是不显⽰⽹卡，下载win10pcap兼容性安装包。

下载路径：Wireshark 开始抓包⽰例先介绍⼀个使⽤wireshark⼯具抓取ping命令操作的⽰例，让读者可以先上⼿操作感受⼀下抓包的具体过程。

1、打开wireshark 2.6.5，主界⾯如下：2、选择菜单栏上Capture -> Option，勾选WLAN⽹卡（这⾥需要根据各⾃电脑⽹卡使⽤情况选择，简单的办法可以看使⽤的IP对应的⽹卡）。

点击Start。

启动抓包。

3、wireshark启动后，wireshark处于抓包状态中。

4、执⾏需要抓包的操作，如ping 。

5、操作完成后相关数据包就抓取到了。

为避免其他⽆⽤的数据包影响分析，可以通过在过滤栏设置过滤条件进⾏数据包列表过滤，获取结果如下。

说明：ip.addr == 119.75.217.26 and icmp 表⽰只显⽰ICPM协议且源主机IP或者⽬的主机IP为119.75.217.26的数据包。

5、wireshark抓包完成，就这么简单。

关于wireshark过滤条件和如何查看数据包中的详细内容在后⾯介绍。

Wireshakr抓包界⾯说明：数据包列表区中不同的协议使⽤了不同的颜⾊区分。

wireshark过滤器语法规则Wireshark过滤器语法规则包括以下部分：1. 协议类型限定词：用以指明抓取的数据包所属的协议类型。

这可以是诸如以太网（ether）、令牌环网（fddi）、IP协议（ip）、地址解析协议（arp）、反向地址解析协议（rarp）、DECnet 协议（decnet）、局部事务传输协议（lat）、同步通信流控制传输协议（sca）、MOP控制协议（moprc）、MOP下行链路协议（mopdl）、传输控制协议（tcp）和用户数据报协议（udp）等协议。

2. 方向限定词：用于指明数据包的传输方向。

这可以是源地址（src）、目的地址（dst）、源地址和目的地址（src and dst）、源地址或目的地址（src or dst）等。

3. 类型限定词：用于指明数据包的具体属性。

这可以是主机（host）、网络（net）、端口（port）、远程主机（rhost）、目的主机（dhost）、源主机（shost）等。

4. 具体的值：这是指具体的IP地址、MAC地址、端口号等。

需要注意的是，如果没有指明协议类型，默认使用所有支持的协议。

语法格式为：[协议类型限定词] [方向限定词] 类型限定词具体的值。

例如，如果你想抓取源地址为***.***.*.**，目的地址为192.Wireshark过滤器语法规则包括以下部分：1. 协议类型限定词：用以指明抓取的数据包所属的协议类型。

这可以是诸如以太网（ether）、令牌环网（fddi）、IP协议（ip）、地址解析协议（arp）、反向地址解析协议（rarp）、DECnet 协议（decnet）、局部事务传输协议（lat）、同步通信流控制传输协议（sca）、MOP控制协议（moprc）、MOP下行链路协议（mopdl）、传输控制协议（tcp）和用户数据报协议（udp）等协议。

2. 方向限定词：用于指明数据包的传输方向。

这可以是源地址（src）、目的地址（dst）、源地址和目的地址（src and dst）、源地址或目的地址（src or dst）等。

wireshark捕获过滤指定ip地址数据包使用捕获过滤或显示过滤，wireshark可以仅捕获/显示经过指定ip的数据包，即某个ip收到或发出的所有数据包。

wireshark捕获/显示过滤使用方法见：“wireshark过滤器”显示过滤：wireshark过滤经过指定ip的数据包显示过滤可以完整的复现测试时的网络环境，但会产生较大的捕获文件和内存占用。

ip.addr ==192.168.1.1 //显示所有目标或源地址是192.168.1.1的数据包ip.dst==192.168.1.1 //显示目标地址是192.168.1.1的数据包ip.src ==192.168.1.1 //显示源地址是192.168.1.1的数据包eth.addr== 80:f6:2e:ce:3f:00 //根据MAC地址过滤，详见“wireshark过滤MAC地址/物理地址”ip.src==192.168.0.0/16 //网络过滤，过滤一个网段捕获过滤：wireshark捕获经过指定ip的数据包捕捉过滤抓包前在capture option中设置，仅捕获符合条件的包，可以避免产生较大的捕获文件和内存占用，但不能完整的复现测试时的网络环境。

host 192.168.1.1 //抓取192.168.1.1 收到和发出的所有数据包src host 192.168.1.1 //源地址，192.168.1.1发出的所有数据包dst host 192.168.1.1 //目标地址，192.168.1.1收到的所有数据包src host hostname //根据主机名过滤ether host 80:05:09:03:E4:35 //根据MAC地址过滤net 192.168.1 //网络过滤，过滤整个网段src net 192.168dst net 192使用“非/且/或”建立组合过滤条件可以获得更精确的捕获非: ! or “not” (去掉双引号)且: && or “and”或: || or “or”wirershark过滤指定ip收发数据包示例：抓取所有目的地址是192.168.1.2 或192.168.1.3 端口是80 的TCP 数据(tcp port 80) and ((dst host 192.168.1.2) or (dst host192.168.1.3)) //捕获过滤tcp.port==80&&(ip.dst==192.168.1.2||ip.dst==192.168.1.3) //显示过滤抓取所有目标MAC 地址是80:05:09:03:E4:35 的ICMP 数据(icmp) and ((ether dst host 80:05:09:03:E4:35))icmp && eth.dst==80:05:09:03:E4:35抓取所有目的网络是192.168，但目的主机不是192.168.1.2 的TCP 数据(tcp) and ((dst net 192.168) and (not dst host 192.168.1.2)) tcp&&ip.src==192.168.0.0/16&&!(ip.src==192.168.1.2)捕获主机192.168.1.1 和主机192.168.1.2 或192.168.1.3的通信host 192.168.1.1 and (192.168.1.2 or 192.168.1.3 )ip.addr==192.168.1.1&&(ip.addr==192.168.1.2||ip.addr==1 92.168.1.3)获取主机192.168.1.1除了和主机192.168.1.2之外所有主机通信的数据包host 192.168.1.1 and ! 192.168.1.2ip.addr==192.168.1.1&&!ip.addr==192.168.1.2获取主机192.168.1.1接收或发出的telnet包，telnet使用tcp 23端口tcp port 23 and host 192.168.1.1tcp.port==23&&ip.addr==192.168.1.1。

Wireshark捕获过滤器技巧捕获过滤器用于决定将什么样的信息记录在捕获文件中。

在使用Wireshark捕获数据时，捕获过滤器是数据经过的第一层过滤器，它用来控制捕获数据的数量。

通过设置捕获过滤器，可以避免产生过大的捕获文件。

本章将介绍使用捕获过滤器技巧。

捕获过滤器简介使用Wireshark的默认设置捕获数据时，会产生大量冗余信息，这样会导致用户很难找到自己需要的部分。

这时就可以使用捕获过滤器来控制捕获数据的数量了。

捕获过滤器的设置界面如图3.1所示。

图3.1 捕获选项在该图中，每部分的含义如下所示：本文选自《Wireshark网络分析实例集锦》❑①Interface列表：选择一个或多个接口（捕获多个适配器）。

❑②Manage Interfaces按钮：单击该按钮可以添加或删除接口。

❑③Capture Filter下拉列表：显示被应用的捕获过滤器（双击可以修改、删除或添加捕获过滤器）。

④Capture File(s)选项框：设置保存多个文件、循环缓冲区大小和基于文件数量自动停止的条件。

本文选自《Wireshark网络分析实例集锦》❑❑ ⑤Display Options 选项框：设置捕获数据时，自动滚动显示捕获的数据包。

❑ ⑥Stop Capture 选项框：设置自动停止条件，如基于包数、数据捕获的数量或运行时间。

❑ ⑦Name Resolution 选项框：为MAC 地址、IP 地址和端口号启动/禁用名称解析。

当以上捕获选项设置完成后，就可以看到Start 按钮捕获数据了。

捕获数据保存中，Wireshark 的图标显示为绿色，如图3.2所示。

本文选自《Wireshark 网络分析实例集锦》图3.2 Wireshark 运行界面选择捕获位置使用Wireshark 分析网络数据时，首先要确认Wireshark 捕获数据的正确位置。

如果没有在正确的位置启动Wireshark ，则导致用户可能花费很长的时间处理一些与自己无关的数据。

Wireshark菜单说明Wireshark官方下载地址：/download.html菜单栏1、File菜单介绍File ——包括打开、合并捕捉文件，save/保存,Print/打印,Export/导出捕捉文件的全部或部分。

以及退出Wireshark项.2、Edit菜单项 Edit——包括如下项目：查找包，时间参考，标记一个多个包，设置预设参数。

（剪切，拷贝，粘贴不能立即执行。

）3、“View”菜单项View ——控制捕捉数据的显示方式，包括颜色，字体缩放，将包显示在分离的窗口，展开或收缩详情面版的地树状节点4、“GO”菜单项GO——包含到指定包的功能。

5、Capture——捕捉数据包“Capture”菜单项Analyze ——包含处理显示过滤，允许或禁止分析协议，配置用户指定解码和追踪TCP流等功能“analyze”菜单项Statistics ——包括的菜单项用户显示多个统计窗口，包括关于捕捉包的摘要，协议层次统计等等。

Help——包含一些辅助用户的参考内容。

如访问一些基本的帮助文件，支持的协议列表，用户手册。

在线访问一些网站，“关于”捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。

需要在开始捕捉前设置。

显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。

可以在得到捕捉结果后随意修改。

两种过滤器的目的是不同的。

捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。

显示过滤器是一种更为强大（复杂）的过滤器。

它允许您在日志文件中迅速准确地找到所需要的记录。

两种过滤器使用的语法是完全不同的。

捕捉过滤器Protocol（协议）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。

Wireshark过滤器详解Wireshark过滤器详解1.Wireshark主要提供两种主要的过滤器捕获过滤器：当进⾏数据包捕获时，只有那些满⾜给定的包含/排除表达式的数据包会被捕获显⽰过滤器：该过滤器根据指定的表达式⽤于⼀个已捕获的数据包集合，它将隐藏不想显⽰的数据包或者只显⽰那些需要的数据包2.捕获过滤器2.1捕获过滤器的BPF语法：使⽤BPF语法创建的过滤器被称为expression（表达式），并且每个表达式包含⼀个或多个primitives（原语）。

每个原语包含⼀个或多个qualifiers（限定词），然后跟着⼀个ID名字或数字限定词说明例⼦Type指出名字或数字所代表的含义host、net、portDir指出传输⽅向是前往还是来⾃名字或数字src、dstProto限定所要匹配的协议Ether、ip、tcp、udp、ftp⼀个捕获过滤器样例src host 192.168.0.10 && port 80在给定表达式的组成部分中，⼀个src限定词和host 192.168.0.10组成了⼀个原语。

这个原语本⾝就是表达式，可以⽤它只捕获那些源IP地址是192.168.0.10的流量你也可以使⽤以下三种逻辑运算符，对原语进⾏组合，从⽽创建出更⾼级的表达式：连接运算符与（&&）选择运算符或（||）否定运算符⾮（！）所以上述表达式只对源地址是192.168.0.10和源端⼝或⽬标端⼝是80的流量进⾏捕获3.显⽰过滤器显⽰应⽤器应⽤于筛选符合过滤器的数据包，对不符合条件的数据进⾏隐藏，只需清空显⽰过滤表达式即可回到原先的捕获⽂件3.1应⽤显⽰过滤器的两种⽅法3.1.1过滤器表达式对话框3.2.2过滤器表达式语法结构⽐较操作符操作符说明==等于！=不等于>⼤于<⼩于>=⼤于或等于<=⼩于或等于逻辑操作符操作符说明and两个条件同时被满⾜or其中有⼀个条件满⾜xor有且仅有⼀个条件满⾜not没有条件满⾜3.3.3显⽰过滤器表达式实例(常⽤)过滤器说明!tcp.port==3389排除RDP流量tcp.flags.syn==1具有SYN标志位的TCP数据包tcp.flags.rst==1具有RST标志位的TCP数据包!arp排除ARP流量tcp.port23 ||tcp.port21⽂件管理流量（Telenet或FTP）smtp ||pop||imap⽂本email流量(SMTP/POP/IMAP)。

Wireshark教程之过滤器设置实验⽬的1、⼯具介绍2、主要应⽤实验原理1、⽹络管理员⽤来解决⽹络问题2、⽹络安全⼯程师⽤来检测安全隐患3、开发⼈员⽤来测试执⾏情况4、学习⽹络协议实验内容1、抓取特定数据流2、显⽰特定数据流实验环境描述实验环境描述1、学⽣机与实验室⽹络直连;2、VPC1与实验室⽹络直连;3、学⽣机与VPC1物理链路连通；pc机：Windows7旗舰版实验步骤⾸先打开桌⾯上的wireshark⼯具Wireshark过滤器抓取特定流量过滤器是在抓包的时候只抓取过滤条件的包，显⽰过滤器是在有多种流量的情况下，显⽰具备过滤条件的包抓取特定数据流⾸先在这⾥建议⼤家尽量避免使⽤抓取特定流量过滤。

即便多看⼏个报⽂，也⽐漏看⼀个报⽂要好。

当你抓取了⼤量报⽂的时候，⽤显⽰过滤（过滤选项也更多）来重点查看某⼀数据流。

应⽤抓取特定流量过滤，在 Capture下打开Capture Options设置窗⼝这⾥可以设置抓取特定流量过滤条件，如果你确定过滤条件的语法，直接在Capture Filter区域输⼊。

在输⼊错误时，Wireshark通过红⾊背景区域表明⽆法处理过滤条件。

最有可能的情况是，过滤条件中含有输⼊错误，或是使⽤了display filter的语法。

点击Capture Filter 按钮查看并选择已保存的过滤条件1、抓取基于MAC的数据流当你需要抓取发到/来⾃某⼀主机的IPv4或IPv6数据流，可创建基于主机MAC地址的抓包过滤条件。

应⽤MAC地址时，需确保与⽬标主机处于同⼀⽹段。

ether host 6C-C6-7C-B8-68-01：抓取发送到/来⾃6C-C6-7C-B8-68-01的数据流ether src 6C-C6-7C-B8-68-01：抓取来⾃6C-C6-7C-B8-68-01的数据流ether dst 6C-C6-7C-B8-68-01：抓取发到6C-C6-7C-B8-68-01的数据流not ether host 6C-C6-7C-B8-68-01：抓取除了发到/来⾃6C-C6-7C-B8-68-01以外的所有数据流ether broadcast或ether dst ff:ff:ff:ff:ff:ff：抓取⼴播报⽂ether multicast：抓取多播报⽂抓取指定以太⽹类型的报⽂：ether proto 0800抓取指定VLAN：vlan (vlan number)抓取指定⼏个VLAN：vlan (vlan number)ａｎｄ vlan (vlan number)例：ether host 6C-C6-7C-B8-68-01显⽰信息发送到/来⾃6C-58-67-9B-C7-01的数据流例：ether src host 6C-58-67-9B-C7-01显⽰来⾃6C-58-67-9B-C7-01的数据流2、抓取基于IP的数据流如果你的抓包环境下有很多主机正在通讯，可以考虑使⽤所观察主机的IP地址来进⾏过滤。

Wireshark基本⽤法过滤规则协议详解基本使⽤:协议解析:(1)版本，占4位，指IP协议的版本，⽬前⼴泛使⽤的IP协议版本号为4（即）。

2)⾸部长度，占4位，可表⽰的最⼤⼗进制数值是15。

请注意，这个字段所表⽰数的单位是32位字长（1个32位字长是4字节），因此，当IP 的⾸部长度为1111时（即⼗进制的15），⾸部长度就达到60字节。

当IP分组的⾸部长度不是4字节的整数倍时，必须利⽤最后的填充字段加以填充。

因此数据部分永远在4字节的整数倍开始，这样在实现IP协议时较为⽅便。

⾸部长度限制为60字节的缺点是有时可能不够⽤。

但这样做是希望⽤户尽量减少开销。

最常⽤的⾸部长度就是20字节（即⾸部长度为0101），这时不使⽤任何选项。

(3)服务类型，占8位，⽤来获得更好的服务，但实际上⼀直没有被使⽤过。

1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。

只有在使⽤区分服务时，这个字段才起作⽤。

(4)总长度，总长度指⾸部和数据之和的长度，单位为字节。

总长度字段为16位，因此数据报的最⼤长度为2^16-1=65535字节。

在IP层下⾯的每⼀种数据链路层都有⾃⼰的帧格式，其中包括帧格式中的数据字段的最⼤长度，这称为最⼤传送单元MTU(Maximum Transfer Unit)。

当⼀个数据报封装成链路层的帧时，此数据报的总长度（即⾸部加上数据部分）⼀定不能超过下⾯的数据链路层的MTU值。

PS：图中总长度为84个字节，ping包默认为56个字节，ICMP包头是8个字节，再加上⾸部长度20个字节。

下图我将包长度设置为112个字节后，总长度就变成140个字节了(5)标识(identification)，占16位。

IP软件在存储器中维持⼀个计数器，每产⽣⼀个数据报，计数器就加1，并将此值赋给标识字段。

但这个“标识”并不是序号，因为IP是⽆连接服务，数据报不存在按序接收的问题。

wireshark 过滤规则Wireshark是一款网络协议分析工具，它能够捕获网络数据包，并将其解码成人类可读的形式，以协助网络管理员和安全专家分析网络流量。

Wireshark 的过滤规则是其最强大的功能之一，通过过滤规则，用户可以过滤出特定协议、IP 地址、端口等信息，以便更加精准地分析网络流量。

Wireshark 过滤规则的基本语法Wireshark 的过滤规则是基于 BPF（Berkeley Packet Filter）语法的，BPF 是一种基于指令的过滤机制，它能够快速地过滤掉不需要的数据包，从而减少网络流量的负载。

Wireshark 的过滤规则语法基本上与 BPF 语法相同，但是在一些细节上有所不同。

下面是Wireshark 过滤规则的基本语法：1. 过滤规则由过滤器和操作符组成，过滤器用于过滤出需要的数据包，操作符用于连接过滤器。

2. 过滤器可以是协议、IP 地址、端口等信息，也可以是表达式，表达式可以是逻辑表达式、算术表达式、比较表达式等。

3. 操作符包括逻辑操作符、比较操作符、算术操作符等，用于连接过滤器。

4. Wireshark 的过滤规则区分大小写。

5. Wireshark 的过滤规则支持通配符，例如：ip.addr == 192.168.1.*。

6. Wireshark 的过滤规则可以使用括号，以改变优先级。

7. Wireshark 的过滤规则可以使用注释，注释以 # 开头。

Wireshark 过滤规则的实例下面是一些 Wireshark 过滤规则的实例，这些规则可以帮助用户更好地理解 Wireshark 的过滤规则语法：1. 过滤出所有的 HTTP 流量http2. 过滤出所有来自 192.168.1.100 的数据包ip.src == 192.168.1.1003. 过滤出所有去往 192.168.1.100 的数据包ip.dst == 192.168.1.1004. 过滤出所有来自 192.168.1.100 的 TCP 流量ip.src == 192.168.1.100 and tcp5. 过滤出所有 TCP 端口为 80 的数据包tcp.port == 806. 过滤出所有 TCP 端口为 80 或 443 的数据包tcp.port == 80 or tcp.port == 4437. 过滤出所有来自 192.168.1.100 并且 TCP 端口为 80 的数据包ip.src == 192.168.1.100 and tcp.port == 808. 过滤出所有数据包的长度大于 1500 字节的数据包frame.len > 15009. 过滤出所有 ICMP 类型为 8 的数据包（即 ping 请求）icmp.type == 810. 过滤出所有 DNS 查询数据包dns.flags.response == 011. 过滤出所有 ARP 请求数据包arp.opcode == 112. 过滤出所有 TCP SYN 数据包tcp.flags.syn == 1Wireshark 过滤规则的高级应用除了基本的过滤规则语法之外，Wireshark 还提供了许多高级的过滤规则功能，这些功能可以帮助用户更加精确地分析网络流量。