Wireshark是著名的抓包工具。无论是网络“攻城师”还是渗透测试人员Wireshark是必不可少的一款工具。本文为大家带来全面详细的抓包过滤命令大全，建议收藏！

关于Wireshark基础学习，可以移步历史文章。

常用的过滤命令⭐⭐⭐⭐

为什么要执行过滤呢？因为Wireshark在抓包时，会抓取经过本机的所有流量。因此我们在分析目标流量时，难免不易找见目录而烦恼。

01地址过滤

我们可以利用ip.addr命令指定特定IP的数据包。（本地电脑去监听192.168.123.15的数据包） 如：要查看本地电脑ip为192.168.123.15的数据包。

ip.src == 192.168.123.15

反过来，如何获取192.168.123.15这台电脑访问本地的数据包呢？我们可以用ip.dst命令。

ip.dst == 192.168.123.15

因此，两者的关系我们可以用下面的图进行说明：

当然，如果你不考虑时源还是目的时，可以用ip.addr命令。

ip.addr == 192.168.123.15

02 端口过滤

利用端口过滤，我们可以对网络攻击进行排除。在不考虑源和目的端时，我们可以用tcp.port命令(也是常见的TCP流量过滤方法)。如过滤22端口。

tcp.port == 22   

• 源-->目的端口 tcp.srcport
• 目的-->源端口 tcp.dstport

03协议过滤

为了方便，我们可以通过过滤常见的协议如http ssh icmp等。过滤命令也很简单，直接数据相关协议即可。如过滤ssh

常用的协议有：http tcp icmp udp ssh等。

04其他类型的过滤

特定网址的过滤

过滤百度的请求。

http.host == "www.baidu.com"   

特定方法过滤

可用来获取http登录密

http.request.method == "POST"   

特定状态码

如过滤常见的404 200 301等。

http.response.code == 200   

过滤TCP/UDP 流量⭐⭐⭐

这部分如果你掌握前面的知识点。就非常简单了！

TCP过滤

#所有tcp流量
tcp
#特定源
tcp.srcport == 80   
#特定目标
tcp.dstport == 443   

UDP过滤

#所有UDP流量
udp
#特定源+端口
udp.srcport == 53   
#特定目标+端口
udp.dstport == 123   

DNS流量⭐⭐⭐

dns流量过滤，主要是涉及到和域名相关的问题。具体如下：

所有DNS流量

dns

过滤特定域名的 DNS 查询

如百度

dns.qry.name == "example.com"  

A记录查询

dns.qry.type == 1

条件组合⭐⭐⭐

条件组合比较复杂，不同的情景用到的组合命令不同。建议大家可以根据AI生成相关命令。下面是常见的组合命令！

过滤特定源 IP 和目标端口

ip.src == 192.168.123.15 && tcp.dstport == 22

过滤 URI 包含 “login” 的 HTTP 请求

http.request.uri matches ".*login.*"

总结

本文为大家列举了通常情况下，在Wireshark中常用的抓包过滤命令。不同的情景使用命令可能有所变动。当然，还有些命令本文未能全部列出。大家可结合实际情况进行过滤。