wireshark 过滤方式「建议收藏」

大家好，又见面了，我是你们的朋友全栈君。

（1）协议过滤

比较简单，直接在抓包过滤框中直接输入协议名即可。

tcp，只显示TCP协议的数据包列表

http，只查看HTTP协议的数据包列表

icmp，只显示ICMP协议的数据包列表

（2）IP过滤

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

（3）端口过滤

port 80

src port 80

dst port 80

（4）逻辑运算符&& 与、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

！broadcast 不抓取广播数据包

2、显示过滤器语法和实例

（1）比较操作符

比较操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）协议过滤

比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

tcp，只显示TCP协议的数据包列表

http，只查看HTTP协议的数据包列表

icmp，只显示ICMP协议的数据包列表

wireshark 过滤方式「建议收藏」

（3） ip过滤

ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表

ip.dst==192.168.1.104, 显示目标地址为192.168.1.104的数据包列表

ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

wireshark 过滤方式「建议收藏」

（4）端口过滤

tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

wireshark 过滤方式「建议收藏」

（5） Http模式过滤

http.request.method==”GET”, 只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

wireshark 过滤方式「建议收藏」

常见用显示过滤需求及其对应表达式
数据链路层：
筛选mac地址为04:f9:38:ad:13:26的数据包—-eth.src == 04:f9:38:ad:13:26
筛选源mac地址为04:f9:38:ad:13:26的数据包—-eth.src == 04:f9:38:ad:13:26
网络层：
筛选ip地址为192.168.1.1的数据包—-ip.addr == 192.168.1.1
筛选192.168.1.0网段的数据—- ip contains “192.168.1”
筛选192.168.1.1和192.168.1.2之间的数据包—-ip.addr == 192.168.1.1 && ip.addr == 192.168.1.2
筛选从192.168.1.1到192.168.1.2的数据包—-ip.src == 192.168.1.1 && ip.dst == 192.168.1.2
传输层：
筛选tcp协议的数据包—-tcp
筛选除tcp协议以外的数据包—-!tcp
筛选端口为80的数据包—-tcp.port == 80
筛选12345端口和80端口之间的数据包—-tcp.port == 12345 && tcp.port == 80
筛选从12345端口到80端口的数据包—-tcp.srcport == 12345 && tcp.dstport == 80
应用层：
特别说明—-http中http.request表示请求头中的第一行（如GET index.jsp HTTP/1.1），http.response表示响应头中的第一行（如HTTP/1.1 200 OK），其他头部都用http.header_name形式。
筛选url中包含.php的http数据包—-http.request.uri contains “.php”
筛选内容包含username的http数据包—-http contains “username”