Wireshark过滤规则文档.docx

简介：
本文档详细介绍了如何使用Wireshark网络协议分析工具进行数据包捕获和分析的各种过滤规则，帮助用户高效地筛选和查看所需的信息。 Wireshark是一款强大的网络封包分析软件，常被网络管理员用于网络故障排查、性能分析以及安全审计。它能捕获并解析网络上的数据包，帮助用户深入理解网络通信的细节。文档中提到的过滤规则是Wireshark的核心功能之一，能够帮助用户快速筛选出感兴趣的数据包，提高分析效率。 1. **IP过滤**： - 使用`ip.src eq IP_ADDRESS`或`ip.dst eq IP_ADDRESS`可以过滤出源IP或目标IP为指定地址的数据包。 - `ip.addr eq IP_ADDRESS`将同时显示来源和目标IP为该地址的包。 - 例如，`ip.src eq 10.175.168.182`会显示所有源IP为10.175.168.182的包。 2. **端口过滤**： - `tcp.port eq PORT_NUMBER`用于显示TCP协议中任何端口与指定端口号相等的包。 - `tcp.dstport eq PORT_NUMBER`和`tcp.srcport eq PORT_NUMBER`分别过滤目标端口和源端口。 - 可以使用`or`操作符结合多个端口，如`tcp.port eq 80 or udp.port eq 80`. 3. **协议过滤**： - 可以直接使用协议名，如`tcp`, `udp`, `arp`, `icmp`等来过滤特定协议的数据包。 - 排除某个协议，可以使用`not`操作符，如`not arp`. 4. **MAC地址过滤**： - `eth.dst eq MAC_ADDRESS`和`eth.src eq MAC_ADDRESS`分别用于过滤目标MAC和源MAC地址。 - `eth.addr eq MAC_ADDRESS`将过滤出MAC地址等于指定值的所有包。 5. **包长度过滤**： - `udp.length eq LENGTH`, `tcp.len eq LENGTH` 和 `ip.len eq LENGTH` 分别用于过滤UDP, TCP 和 IP 包的长度。 - 可以使用比较操作符如`less than`, `lt`, `less equal`, `le`, `equal`, `eq`, `greater`, `gt`,` greater equal `, `ge`和`not equal`,`ne`来设定包长度。 6. **HTTP模式过滤**： - 使用`http.request.method` 和 `http.response` 来筛选出特定的HTTP请求方法（如GET、POST）及响应。 - 通过使用 `http.request.uri` 可以查找特定URL。 - 利用 `http contains STRING` 查找包含指定字符串的包。 7. **TCP参数过滤**： - 使用 `tcp.flags` 来查看带有特定TCP标志的数据包，如显示所有SYN标志的TCP数据包通过使用 `tcp.flags.syn eq 0x02`. - 可以结合使用 `tcp.window_size` 和 `tcp.flags.reset` 过滤具有特定窗口大小和重置标志的数据包。 8. **包内容过滤**： - 使用 `tcp[OFFSET]` 来表示从指定偏移量开始的单个字节。 - 通过使用 `tcp[OFFSET:]` 表示从指定偏移量开始的任意长度数据。 以上过滤规则结合使用，可以让用户在海量数据中迅速定位到特定网络行为，极大地提高了网络分析效率。在应用这些规则时，请确保检查过滤表达式的语法正确性以保证其有效性；如果输入错误，则会显示红色警告。