最好的 Wireshark 過濾器

Wireshark，以前稱為 Ethereal，是一個功能強大的開源程序，可幫助用戶監控和分析發送到特定網絡和從特定網絡發送的信息。該軟件可以處理來自大多數類型網絡中數百種協議的複雜數據，並將它們組織成數據包。然而，當網絡突然出現故障或出現問題時，搜索數據包可能會不堪重負，需要大量的時間和精力。這就是 Wireshark 的便捷特性派上用場的地方。

該軟件支持過濾器，可讓您快速篩選大量信息。無需手動檢查捕獲的文件，您可以應用過濾器，將您帶到要檢查的數據。

繼續閱讀以了解最好的 Wireshark 過濾器以及如何為它們添加書籤以備後用。

Wireshark 過濾器

Wireshark 中有兩種類型的過濾器。第一個是捕獲過濾器，第二個是顯示過濾器。它們使用不同的語法並服務於特定目的。

捕獲過濾器在捕獲操作開始之前設置。捕獲過濾器設置記錄並僅保存您感興趣的流量分析。一旦捕獲操作開始，更改此過濾器類型就變得不可能了。

另一方面，顯示過濾器包含適用於所有捕獲數據包的選項。您可以在開始捕獲操作之前設置此類過濾器，然後調整或禁用它。此外，您可以在運行過程中進行設置。顯示過濾器將數據存儲在跟踪緩衝區中，隱藏您不感興趣的流量並僅顯示您想要查看的信息。

Wireshark 有一個令人印象深刻的內置過濾器庫，可幫助用戶更好地控制他們的網絡。要訪問和使用現有過濾器，您必須在程序工具欄下方的“應用顯示過濾器”部分輸入正確的名稱。如果要查找並應用捕獲過濾器，請使用歡迎屏幕中間的 Enter Capture 部分。

雖然 Wireshark 擁有全面的過濾功能，但記住正確的語法通常很困難。當您努力輸入合適的過濾器時，您就是在浪費寶貴的時間。

但你很幸運。我們編制了一份最好的 Wireshark 過濾器列表，以幫助您充分利用該程序，並在分析大量保存的數據時消除猜測。

最好的 Wireshark 過濾器

讓我們看一些有用的過濾器，它們可以讓您掌握程序。

ip.address == xxxx

上面的過濾器將只顯示包​​含給定 IP 地址的捕獲數據包。這是檢查一種流量的便捷工具。應用過濾器將處理傳出流量並確定哪一個與您正在尋找的源或 IP 地址相匹配。

如果要按目的地過濾，請使用 ip.dst == xxxx 選項。

ip.src == xxxx 選項可幫助您按源過濾。

ip.addr == xxxx && ip.addr == xxxx

此行在兩個預設 IP 地址之間設置對話過濾器。這對於驗證兩個選定網絡或主機之間的數據非常寶貴。過濾器會忽略不相關的數據，只專注於查找您最感興趣的信息。

使用行 ip.src == xxxx && ip.dst == xxxx 過濾目的地。

http 或 dns

當您應用此過濾器時，它將顯示每個 DNS 或 HTTP 協議。這是一個省時的過濾器，可讓您專注於您想要學習的特定協議。例如，如果您需要查找可疑的 FTP 流量，您只需為“ftp”設置一個過濾器。要找出網頁未顯示的原因，請將過濾器設置為“dns”。

tcp.port==xxx

上述過濾器將搜索範圍縮小到特定目標或源端口。過濾器不是查看整個捕獲的數據包，而是生成有關從一個端口傳入或傳出的流量的數據。這是您在時間緊迫時可以依靠的最方便的過濾器之一。

tcp.flags.reset==1

應用此過濾器將顯示每個 TCP 重置。每個捕獲的數據包都有一個關聯的 TCP。當它的值為 1 時，它通知接收 PC 它應該停止使用此連接。這是最令人印象深刻的 Wireshark 過濾器之一，因為 TCP 重置將立即終止連接。

tcp 包含 xxx

此過濾器將查找所有包含指定術語的 TCP 捕獲數據包。如果您想知道元素出現在捕獲中的什麼位置，請輸入其名稱而不是“xxx”。過濾器會找到該術語的所有實例，省去閱讀包的麻煩。例如，如果將“xxx”替換為“traffic”，您將看到所有包含“traffic”的數據包。此過濾器的最佳用途是掃描特定的用戶 ID 或字符串。

!(arp 或 icmp 或 dns)

上述過濾器旨在排除某些協議。使用它來刪除不必要的 arp、dns 或 icmp 協議。它允許您屏蔽分散注意力的數據，以便您可以專注於分析更重要的信息。

tcp.time_delta>。250

此過濾器在其流中顯示增量時間大於 250 毫秒的 TCP 數據包。

請記住，您需要在使用過濾器之前計算 TCP 轉換時間戳。雖然計算對話中的延遲並不太難，但它確實需要一些 Wireshark 的高級知識。

tcp.analysis.flags &&! tcp.analysis.window_update

此過濾器可幫助您在單個跟踪中查看重傳、空窗口和重放攻擊。這是發現應用程序性能不佳或丟包的好方法。

使用 Wireshark 過濾器的提示

如果您不記得正確的過濾器語法，它會讓您感到沮喪，並且可能會阻止您快速找到有價值的數據。

有時 Wireshark 的自動完成功能可以幫助您解決問題。例如，如果您確定過濾器以“tcp”開頭，請在相應的搜索字段中輸入此信息。Wireshark 將創建一個以“tcp”開頭的過濾器列表。滾動搜索結果，直到找到正確的別名。

查找過濾器的另一種方法是輸入字段旁邊的“書籤”選項。當您選擇管理顯示過濾器或管理過濾器表達式時，您可以修改、添加或刪除過濾器。如果您對記住複雜的語法縮寫不是特別有信心，“書籤”選項是檢索常用 Wireshark 過濾器的便捷工具。

不要重新輸入複雜的捕獲過濾器，而是按照以下步驟將它們保存到您的書籤菜單中：

• 啟動Wireshark並導航到“書籤”選項。

• 單擊“管理顯示過濾器”以打開對話框。

• 在對話框中找到對應的過濾器，點擊後點擊“+”按鈕保存。

以下是保存顯示過濾器所需的操作：

• 打開Wireshark並導航到“書籤”選項。

• 選擇“管理顯示過濾器”以打開對話框。

• 滾動選項列表，雙擊相關過濾器，然後單擊“+”按鈕將其保存為書籤。

如果您急於分析某些數據，可以單擊輸入字段旁邊的向下箭頭。該操作將創建以前使用的過濾器列表。

使用過濾器輕鬆進行數據分析

由於其方便的過濾器，Wireshark 已成為最受歡迎的網絡協議分析器之一。您可以使用它們來節省時間并快速查找特定參數，例如 IP 地址或十六進制值。如果您發現難以記住常用過濾器的各種名稱，請將它們保存為書籤以備後用。

您多久使用一次 Wireshark 過濾器？您更依賴捕獲或顯示過濾器嗎？你曾經使用過上面提到的一些選項嗎？請在下面的評論中告訴我們。