Wireshark 常用过滤器
-
IP 地址过滤:
ip.src == 192.168.1.1:过滤出源 IP 地址为 192.168.1.1 的数据包。ip.dst == 192.168.1.1:过滤出目标 IP 地址为 192.168.1.1 的数据包。
-
协议过滤:
tcp:只显示 TCP 协议的数据包。udp:只显示 UDP 协议的数据包。http:只显示 HTTP 协议的数据包。
-
端口过滤:
tcp.port == 80:过滤出所有 TCP 端口为 80 的数据包。udp.port == 53:过滤出所有 UDP 端口为 53 的数据包。
-
MAC 地址过滤:
eth.src == aa:bb:cc:dd:ee:ff:过滤出源 MAC 地址为 aa:bb:cc:dd:ee:ff 的数据包。eth.dst == aa:bb:cc:dd:ee:ff:过滤出目标 MAC 地址为 aa:bb:cc:dd:ee:ff 的数据包。
-
网络层过滤:
ip.addr == 192.168.1.0/24:显示 IP 地址在 192.168.1.0 到 192.168.1.255 范围内的数据包。
-
错误和异常过滤:
tcp.analysis.flags:显示 TCP 错误和重传的数据包。dns.flags.rcode != 0:显示所有非正常的 DNS 响应(错误响应)。
-
表达式组合:
ip.src == 192.168.1.1 && tcp.port == 80:显示源 IP 地址为 192.168.1.1 且 TCP 端口为 80 的数据包。http || dns:显示所有 HTTP 或 DNS 协议的数据包。
浙公网安备 33010602011771号