Wireshark 显示过滤器常用规则及代码示例

最新推荐文章于 2025-05-13 15:21:36 发布
最新推荐文章于 2025-05-13 15:21:36 发布
阅读量3k 收藏 12
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: 过滤器 正则表达式 wireshark 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a714804968/article/details/107589543
本文详细介绍了Wireshark的显示过滤器规则,包括构造表达式的方法、各种比较操作符、切片操作符、成员操作符的使用,以及通过实例展示了如何过滤SMTP、ICMP、SMB、Sasser蠕虫等通信。同时,强调了正确使用逻辑运算符和避免常见错误的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

DisplayFilters 显示过滤器规则 - 目录


参考资料:
https://wiki.wireshark.org/DisplayFilters
https://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html
 
Wireshark 使用显示过滤规则来过滤已捕获的数据包,及按 规则显示特定颜色。
你可以在 显示过滤参考中找到主要的显示过滤协议字段列表。
如果你需要针对特定协议进行显示过滤,请参阅 协议参考
 

显示过滤规则 ≠ 捕获过滤规则

别把捕获过滤规则(如 tcp port 80)和显示过滤规则(如 tcp.port == 80)搞混了。
参阅捕获过滤规则说明
 

构造过滤规则表达式

Wireshark 提供了一种显示过滤器语言,使你能够精确地控制显示哪些数据包。它们可以用来检查协议或字段是否存在、字段的值,甚至比较两个字段。这些比较可以与逻辑运算符(如“and”和“or”)和括号组合成复杂的表达式。
以下部分将更详细地介绍显示过滤器功能。

示例

仅显示 SMTP(端口25)和 ICMP 通信:

tcp.port eq 25 or icmp

仅显示局域网 (192.168.x.x) 中工作站与服务器之间的通信 —— 无因特网连接:

ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

TCP 缓冲区满——Source停止向Destination发送数据:

tcp.window_size == 0 && tcp.flags.reset != 1

Windows 过滤——在监控Windows客户端时过滤干扰,DC exchanges:

smb || nbns || dcerpc || nbss || dns

Sasser 蠕虫

ls_ads.opnum==0x09

匹配 UDP payload 开头处(任意)包含3字节序列0x81、0x60、0x03的数据包,跳过8字节UDP报头。请注意

最低0.47元/天 解锁文章
WireShark过滤器
m0_49476241的博客
09-08 1907
No.:数据包顺序Time:数据包到达时间Source:数据包发送方地址:数据包接收方地址Protocol:通信协议Length:数据包大小Info:简要说明。
Wireshark显示过滤器
Edidaughter的博客
11-19 5055
显示过滤器指的是针对已经捕获的报文,过滤出符合特定规则的分组。通常情况下,用户捕获到的文件很多,即使使用捕获过滤器后,仍然还是有很多无关的包。当用户分析数据包时,很难找到自己需要的部分,此时显示过滤器就非常有用了。显示过滤器相比捕获过滤器更加强大,而且更加常用。因为显示过滤器不仅可以对数据包进行过滤,而且不会省略捕获文件中的其他数据。也就是说,如果用户想回到原先的捕获文件,只需要清空显示过滤表达式即可。 1.使用显示过滤器 窗口中有一个“应用显示过滤器”文本框(如图中的1)。用户将使用的过滤器表达式
Wireshark显示过滤器的高级应用
最新发布
weixin_28840811的博客
05-13 483
本篇博客深入探讨了Wireshark显示过滤器的使用方法,包括如何精确地筛选出特定的数据包、使用逻辑运算符组合过滤条件、利用范围语法提取数据包字段、以及隐藏字段的使用和显示。通过具体的例子和详细解释,帮助读者在实际网络分析中更好地运用Wireshark的高级过滤功能。
网络分析系列之十三 Wireshark显示过滤器
NetInside__的博客
09-06 482
前面讲述抓包过滤器的时候提到过,Wireshark共有2类过滤器,第二类就是这次讲解的显示过滤器。和抓包过滤器不同,显示过滤器是在现有的数据包中通过过滤条件,筛选查看想要的对象,不需要显示的内容被“隐藏”,而执行了抓包过滤器,不需要的数据包则会直接被丢弃,无法挽回。 本节主要简述什么是显示过滤器显示过滤器的语法结构、常用显示过滤器列表及如何保存显示过滤器等内容。 显示过滤器介绍 显示过滤器远比抓...
wireshark过滤器
君行路的博客
08-28 3360
抓包过滤器(语法说明,举例说明,实验演示):     显示过滤器(语法说明,实验演示):   1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是: - 选择 capture ->...
Wireshark (抓包)捕获过滤器常用规则代码示例
殷阳的博客
07-12 5800
Wireshark 捕获过滤器使用的语法与 tcpdump、WinDump、Analyzer 这类使用 libpcap/WinPcap 库的程序一致。
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 3636
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
Wireshark高级技巧:过滤器显示过滤器的终极指南
![[Wireshark]Practical Packet.Analysis.3rd.Edition.2017.4.pdf]...通过深入分析显示过滤器的各种使用场景,并结合实践案例,本文旨在帮助网络管理员和安全分析师提升网络
Wireshark高级过滤器技术详解
# 1. Wireshark简介与基础过滤器技术 ## 1.1 Wireshark简介 Wireshark是一个开源的网络协议分析软件,能够捕获和分析网络数据包。它支持Windows、MacOS和Linux操作系统,并提供...Wireshark过滤器语法类似于BPF过滤器
Wireshark使用指南之显示过滤器
Danny_llp的博客
09-13 3318
Wireshark使用指南之显示过滤器 一.协议过滤器 arp:显示所有ARP流量,包括免费ARP,ARP请求和ARP应答。 ip ipv6 tcp 二.应用过滤器 bootp:显示所有DHCP流量(基于BOOTP); dns:显示所有DNS流量,包括基于TCP传输和UDP的DNS请求和响应; tftp:显示所有TFTP(简单文件传输协议)流量; http:显示所有HTTP命令,响应和数据传输包。 icmp 三.字段存在过滤器 bootp.option.hostname: ...
JSP 开发中过滤器filter设置编码格式的实现方法
01-08
JSP 开发中过滤器filter设置编码格式的实现方法 我们知道为了避免提交数据的乱码问题,需要在每次使用请求之前设置编码格式。在你复制粘贴了无数次request.setCharacterEncoding(“gb2312”);后,有没有想要一劳永逸的方法呢?能不能一次性修改所有请求的编码呢? 用Filter吧,它的名字是过滤器代码如下: import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig;
wireshark 最新源代码
07-03
这份是最新的wireshark的源代码,学习下
wireshark显示过滤器和捕获过滤器
Rlack的博客
11-12 1784
本文简单聊一聊wireshark显示过滤器和捕获过滤器的使用。 wireshark过滤器分为两种,显示过滤器和捕获过滤器显示过滤器指的是针对已经捕获的报文,过滤出符合过滤规则的报文;捕获过滤器指的是提前设置好过滤规则,只捕获符合过滤规则的报文。往往初次接触wireshark,可能会分不清这两种过滤规则,本文就简单说明一下。 为什么wireshark使用两套过滤器规则呢?原因在于wireshark使用winpcap或者libpcap第三方的报文捕获库来对网卡的报文进行捕获,因此捕获过滤器就沿用了这些第三方库
Wireshark教程:显示过滤器表达式
nuan444979的博客
09-22 5132
Wireshark显示过滤器表达式
Wireshark显示过滤器常用关键字及过滤表达式
geriletuma
08-15 5143
Wireshark工具及其过滤器简介,详细介绍了常用显示过滤器关键字及过滤表达式,附带常用过滤表达式。
Wireshark过滤
GY_1202的博客
06-10 7971
wireshark两种数据过滤方式:捕获过滤器显示过滤器
Wireshark 基础 | 显示过滤篇
7ACE的博客
04-05 8469
Wireshark 基础 | 显示过滤篇
Wireshark显示过滤器的使用指南
u011186532的专栏
12-26 2288
显示过滤器Wireshark 的一项核心功能,用于过滤和筛选捕获到的流量。与捕获过滤器不同,显示过滤器作用于已经捕获的数据包,帮助用户在界面上隐藏不相关的数据包,仅显示满足特定条件的数据包。Wireshark 显示过滤器是分析捕获流量的关键工具,灵活的语法和强大的筛选功能能够帮助用户高效定位问题。显示过滤器的语法规则非常灵活,支持精确匹配协议、字段、值等。
wireshark过滤常用语法
03-21
### Wireshark 过滤器常用语法 Wireshark 是一款强大的网络数据包捕获工具,其过滤功能分为两种主要类型:**抓包过滤器**和**显示过滤器**。这两种过滤器的语法不同,在实际应用中需根据需求选择合适的过滤方式。 #### 抓包过滤器 抓包过滤器基于 Berkeley Packet Filter (BPF) 的语法实现[^3]。它用于在网络接口上实时筛选流量,减少不必要的数据存储到磁盘中。以下是常用的 BPF 语法规则: - **协议指定**: 可通过 `protocol` 参数限定特定协议的数据包。例如: ```bash tcp # 捕获 TCP 协议的数据包 udp # 捕获 UDP 协议的数据包 icmp # 捕获 ICMP 协议的数据包 ``` - **方向控制**: 使用 `src`, `dst`, 或组合形式来定义源或目标地址的方向。 ```bash src host 192.168.1.1 # 来自 IP 地址 192.168.1.1 的数据包 dst net 10.0.0.0/8 # 发往网段 10.0.0.0/8 的数据包 src port 80 # 来自端口 80 的数据包 not broadcast # 排除广播数据包 ``` - **逻辑运算符**: 支持 `and`, `or`, 和 `not` 组合条件。 ```bash tcp and src host 192.168.1.1 # 同时满足 TCP 流量且来自该主机 udp or icmp # 满足 UDP 或者 ICMP 数据包 not arp # 不包含 ARP 协议的数据包 ``` 对于仅关注某一类协议的情况,推荐优先使用抓包过滤器以提高效率并节省资源[^1]。 --- #### 显示过滤器 显示过滤器允许用户在已捕获的数据集中进一步筛选感兴趣的内容。它的语法更加灵活直观,适合复杂查询场景。以下是一些常见表达式及其含义: - **基础字段匹配** ```plaintext http.request.method == "GET" # 查找 HTTP GET 请求 dns.qry.name contains example.com # DNS 查询名称包含 example.com tcp.flags.syn eq 1 # 找出 SYN 标志位被设置的 TCP 数据包 ip.addr == 192.168.1.1 # 匹配任意一方为给定 IP 的通信 ``` - **数值范围比较** ```plaintext frame.len >= 100 # 数据帧长度大于等于 100 字节 tcp.port geq 1024 leq 65535 # 端口号介于 1024 到 65535 之间 ``` - **字符串模糊查找** ```plaintext http.host matches "(?i).*google.*" # 主机名大小写不敏感地包含 google 关键字 data.text contains "error message" # 数据载荷部分存在错误消息提示 ``` 当处理少量流量或者需要深入分析已有数据集时,应考虑采用显示过滤器[^2]。 更多详细的协议字段说明可以访问官方文档链接获取最新资料。 --- ```python # 示例脚本展示如何利用 Python 调用 tshark 工具执行简单过滤操作 import subprocess def run_tshark_filter(filter_expression): command = ["tshark", "-R", filter_expression, "-r", "input.pcap"] result = subprocess.run(command, stdout=subprocess.PIPE, stderr=subprocess.PIPE) return result.stdout.decode() filter_expr = 'http.request.method == "POST"' output = run_tshark_filter(filter_expr) print(output) ``` 上述代码片段演示了调用 TShark 实现读取 PCAP 文件并通过显示过滤器提取 POST 方法请求的过程。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值