一、地址过滤
ip.src == 192.168.0.1
ip.dst == 192.168.0.1
ip.addr == 192.168.0.1
!(ip.addr == 192.168.0.1)
二、端口过滤
tcp.srcport == 80
tcp.dstport == 80
tcp.port == 80
tcp.port >= 60000
三、协议过滤
直接在filter框中输入协议名,如过滤HTTP协议,则http
四、http协议相关过滤
http.request.uri contains User
http.host == www.baidu.com
http.host contains baidu
http.content_type == 'text/html'
http.request.method == GET
http.response.code == 200
http.cookie contains userid
五、长度和内容的过滤
udp.length < 20
http.content_length <= 30
六、错误报文过滤
此错误是wireshark根据计算为了分析展示的错误,实际报文不会有此信息
- 过滤出显示 TCP Previous segment not captured 报文
tcp.analysis.lost_segment
原因:前一个分片丢失,有可能是网络中确实丢失了,或者晚到了,也有可能是wireshark本身并没有抓到。
tcp.analysis.duplicate_ack
原因:当网络中存在乱序或者丢包时,将会导致接收端接收到的seq number不连续。此时接收端会向发送端回复重复ack,ack值为期望收到的下一个seq number。重复ack数大于等于3次将会触发快速重传。
- 过滤出显示 TCP Out-Of-Order 报文
tcp.analysis.out_of_order
原因:一般来说是网络拥塞,导致顺序包抵达时间不同,延时太长,或者包丢失,需要重新组合数据单元
tcp.window_size == 0
原因:当发送端发包速率大于接收端的接收速率时,会造成接收端TCP window越来越小,当接收端在反馈ack时携带的window size=0时,wireshark标记TCP Zero window。此时发送端将暂停发送数据,直到收到接收端window size!=0的标志。
tcp.analysis.window_full
原因:是指的发送端发送的数据已经达到的接受窗口的上限。发送端暂停发送,等待新的接收窗口的通告。