wireshark过滤ip端口，wireshark过滤语法规则使用方法

wireshark过滤ip端口，wireshark过滤语法规则使用方法，掌握过滤技巧很重要，刚进行抓包时，会得到很多冗余的数据，使用过滤，会简单、直观地得到我们需要的信息。[/qgg_green]

1、过滤源MAC、目的MAC

在wireshark的过滤规则框Filter中输入过滤条件，如查找源和目的地址都为80:f6:bb:cc:dd:00的包，eth.addr== 80:f6:bb:cc:dd:00；查找源地址为eth.src== 80:f6:bb:cc:dd:00；查找目的地址为eth.dst== 80:f6:bb:cc:dd:00；

2、 过滤源ip、目的ip

在wireshark的过滤规则框Filter中输入过滤条件，如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1；

3、端口过滤

如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包；

4、协议过滤

协议过滤比较简单，直接在Filter框中直接输入协议名即可，http udp dns

5、http模式过滤

如过滤get包，http.request.method==”GET”,过滤post包，http.request.method==”POST”；

6、连接符and的使用

过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8 and http。

过滤具体配置如下图：

过滤器就像是“筛子”，是Wireshark网络协议分析软件的核心操作之一。过滤器分为捕获过滤器和显示过滤器，可以理解为抓包前和抓包后使用的“筛选器”，其作用就是从大量的数据包中获取并找出协议分析所需要的报文。

捕获过滤器：提前运用一系列运算符，表达式等设置好过滤规则捕获指定条件要求的数据包。

捕获过滤器可以使用系统已经存在的过滤器，也可以根据个人的需要编写，过滤器须遵循系统的语法规则。

例如1：抓取172.16.0.10主机上telnet的进出双向流量（数据包）

tcp port 23 and host 172.16.0.10

例如2：抓取不是来自172.16.0.10主机的所有telnet流量

tcp port 23 and not src host 172.16.0.10

显示过滤器：对已经抓取的数据包进行符合规则条件的过滤。

抓取一定时间或数量的报文，拿过来进行筛选分析，就需要用到显示过滤器。又比如同事，网友发送给你捕获的数据包文件，让你帮助分析，也是大家经常会遇到的，其实很简单，只要在【过滤器工具栏】输入过滤规则即可。

需要注意的是：输入的条件代码语法正确，输入框为“绿色”，如果输入错误或不完整则呈现“红色”。另外在输入的过程中会有“联想”功能提示，防止出错。

它们都有共同的语法规则，只是使用的时机和方式不同。对于语法规则，不过就是运算符，判断，表达式等条件的组合，很简单，与编程语言类似，可对照系统提供的事例自行练习，不再详述。

本文地址：网络知识频道 https://www.hkm168.com/jiqiao/868597.html，易企推百科一个免费的知识分享平台，本站部分文章来网络分享，本着互联网分享的精神，如有涉及到您的权益，请联系我们删除，谢谢！