Wireshark 抓包常用過濾命令

藍隊云小課堂：

一、根據 IP 地址過濾

case 1、篩選出源 IP 或者目的 IP 地址是 192.168.3.77 的全部數據包

過濾命令：

ip.addr == 192.168.3.77

case 2、篩選出源 IP 地址是 182.254.3.77 的數據包

過濾命令：

ip.src_host == 192.168.1.114

case 3、篩選出目的地址是192.168.1.114的數據包

過濾命令：

ip.dst_host == 192.168.1.114

二、根據端口過濾

case 1、根據 TCP 端口篩選數據包，包括源端口和目的端口

過濾命令：

tcp.port == 80

case 2、根據 TCP 目的端口篩選數據包

過濾命令：

tcp.dstport == 80

case 3、根據 TCP 源端口篩選數據包

過濾命令：

tcp.srcport==80

case 4、根據 UDP 端口篩選數據包，包括源端口和目的端口

過濾命令：

udp.port == 1234

case 5、根據 UDP 源端口篩選數據包

過濾命令：

udp.srcport == 1234

case 6、根據 UDP 的目的端口篩選數據包

過濾命令：

udp.dstport == 1234

三、根據協議過濾

常用的網絡協議有 udp、tcp、dns、ip、ssl、http、ftp、arp、icmp、smtp、pop、telnet、ssh、rdp、sip 等。

case 1、篩選出 http 協議中 GET 請求的數據包

過濾命令：

http.request.method == GET

注意：GET 一定要大寫！

case 2、篩選出 http 協議中的 POST 請求的數據包

過濾命令：

http.request.method == POST

注意：POST 一定要大寫！

四、根據 Payload Type 條件過濾

可以根據網絡包的 Payload Type 類型進行條件過濾，比如根據下圖中的 111 枚舉值過濾。

過濾條件如下：

rtp.p_type == 111

五、根據組合條件過濾

case 1、篩選出源 IP 地址是 192.168.3.77 且目的 IP 地址是 192.168.3.78 的數據包

過濾命令：

ip.src_host == 192.168.3.77 && ip.dst_host == 192.168.3.78

case 2、篩選出源 IP 地址是 192.168.3.77 或者源 IP 地址是 192.168.3.78 的數據包

過濾命令：

ip.src_host == 192.168.3.77 && ip.src_host == 192.168.3.78

case 3、篩選出不是 IP 地址 192.168.3.77 的數據包

過濾命令：

!(ip.addr == 192.168.3.77)

更多小知識，可聯系藍隊云一起探討。