Wireshark 抓包常用过滤命令- 不二云
互联网安全
2025-05-31 19:20
92
Wireshark抓包过滤命令速查表
适用场景:网络故障排查、安全分析、协议调试
一、IP地址过滤
| 命令 | 作用 |
|---|---|
ip.addr == 192.168.1.100 |
筛选 源或目的IP 的数据包 |
ip.src == 192.168.1.100 |
筛选 源IP 的数据包 |
ip.dst == 192.168.1.100 |
筛选 目的IP 的数据包 |
二、端口过滤
TCP协议:
tcp.port == 80 # 源或目的端口为80
tcp.srcport == 80 # 源端口为80
tcp.dstport == 443 # 目的端口为443 UDP协议
udp.port == 53 # DNS流量
udp.srcport == 1234 # 源端口1234
udp.dstport == 5060 # SIP协议流量 三、协议过滤
| 命令 | 协议 |
|---|---|
http.request.method == GET |
HTTP GET请求 |
http.request.method == POST |
HTTP POST请求 |
dns |
DNS查询 |
ssl |
TLS/SSL加密流 |
icmp |
Ping/路由控制 |
注意:
GET/POST必须大写!
四、Payload高级过滤
rtp.p_type == 111 # RTP音频流(Payload Type=111)
tcp.payload contains "admin" # TCP载荷含"admin"关键字
http contains "404" # HTTP响应包含404状态码 五、组合条件过滤
| 逻辑 | 符号 | 示例 | 作用 | ||||
|---|---|---|---|---|---|---|---|
| 与 | && |
ip.src==192.168.1.1 && tcp.port==80 |
同时满足两个条件 | ||||
| 或 | ` | ` | `udp.port==53 | tcp.port==80` | 满足任一条件 | ||
| 非 | ! |
!arp |
排除ARP协议数据包 |
复杂示例:
(ip.src == 192.168.1.100 && tcp.dstport == 22) || (http contains "login")
# 过滤:源IP为192.168.1.100且目的端口22的SSH流量,或含"login"的HTTP流量 六、实战技巧
-
快速定位问题:
tcp.analysis.retransmission # 抓取TCP重传包(网络拥塞) tcp.flags.syn == 1 && tcp.flags.ack == 0 # 仅抓SYN包(扫描攻击) -
保存过滤结果:
→ 分析后点击File → Export Specified Packets -
性能优化:
frame.len <= 500 # 抓小包(减少资源占用) !(udp.port == 5353) # 排除mDNS等噪声流量附:常用协议关键词
arp,icmp,ssh,ftp,smtp,rdp,sip,rtp掌握这些命令,可高效完成 90%的抓包分析任务。遇到复杂场景时,欢迎联系不二云技术支持获取定制方案!