摘要:在网络工程师、运维人员乃至安全分析师的日常工作中,Wireshark已经成为不可或缺的“放大镜”。它能将看似无形的网络流量,逐帧逐比特地展现在我们面前,帮助定位问题、追踪攻击、甚至优化网络架构。
在网络工程师、运维人员乃至安全分析师的日常工作中,Wireshark 已经成为不可或缺的“放大镜”。它能将看似无形的网络流量,逐帧逐比特地展现在我们面前,帮助定位问题、追踪攻击、甚至优化网络架构。
然而,面对动辄数百万条的抓包记录,如果没有过滤器(Filter),就像在沙漠里找一粒沙子。今天,我们带来一份Wireshark过滤器大汇总,从基础到进阶,从协议到错误检测,覆盖多个维度,形成一份“即查即用”的工具书级参考资料。
在深入细节之前,我们先来明确 Wireshark 的两大过滤器概念:
捕获过滤器(Capture Filter)在抓包开始时设置,决定哪些数据包会被捕获。语法接近 BPF(Berkeley Packet Filter),相对简洁。优点:减少无关数据包的写入,提高效率。
显示过滤器(Display Filter)在抓包完成后使用,用来筛选和显示需要分析的数据包。语法更复杂,但功能更强大,支持精确的条件逻辑。优点:分析灵活,支持各种协议字段。
简单理解: 捕获过滤器是“进门前的安检”,显示过滤器是“进门后的分拣”。
网络分析绕不开 IP 层,无论是 IPv4 还是 IPv6,IP 地址过滤始终是最常用的一类。
ip.addr == 192.168.1.1 → 过滤某一 IP 地址ip.src == 192.168.1.1 → 过滤源 IPip.dst == 10.0.0.5 → 过滤目的 IPip.addr == 192.168.1.1 && ip.addr == 192.168.1.2 → 会话双方在定位应用层协议时,端口是最直接的“切入口”。
tcp.port == 80 → 过滤所有 TCP 80 端口(HTTP)udp.port == 53 → 过滤 DNStcp.srcport == 443 → 来源端口 HTTPStcp.dstport == 22 → 目的端口 SSHWireshark 支持数百种协议,直接按协议过滤是最常见的操作。
http → 仅显示 HTTP 包dns → 仅显示 DNS 流量ARP → 仅显示 ARP 报文icmp → 显示 ping 测试数据包TCP 是网络通信的核心,分析 TCP 三次握手、重传、乱序时尤其依赖过滤器。
tcp.flags.syn == 1 → SYN 报文tcp.flags.ack == 1 → ACK 报文tcp.analysis.retransmission → 重传tcp.analysis.lost_segment → 丢包tcp.analysis.duplicate_ack → 重复确认网络故障排查时,关注错误和异常报文尤为关键。
icmp.type == 3 → 目的不可达tcp.analysis.flags → 所有 TCP 异常标记dns.flags.rcode != 0 → DNS 查询错误http.response.code >= 400 → HTTP 错误响应在局域网环境下,MAC 地址过滤与 VLAN ID 是排查二层问题的利器。
eth.addr == 00:1a:2b:3c:4d:5e → 指定 MACeth.src == ... / eth.dst == ... → 源/目的 MACvlan.id == 10 → VLAN ID 为 10 的流量Wireshark 支持逻辑运算,可以更灵活地组合条件。
ip.addr == 192.168.1.1 && tcp.port == 80http && ip.dst == 10.0.0.5!(arp || icmp) → 排除 ARP 和 ICMP来源:wljslmz一点号
