WireShark常用过滤规则

一、地址过滤

• 对源地址及目的地址过滤

ip.src == 192.168.0.1
ip.dst == 192.168.0.1

• 对源地址或者目的地址过滤

ip.addr == 192.168.0.1

• 排除某个地址数据包过滤

!(ip.addr == 192.168.0.1)

二、端口过滤

• 对源端口及目的端口过滤

tcp.srcport == 80
tcp.dstport == 80

• 对源地址或者目的端口过滤

tcp.port == 80

• 大于某个端口的过滤

tcp.port >= 60000

三、协议过滤

• 协议过滤

直接在filter框中输入协议名，如过滤HTTP协议，则http

四、http协议相关过滤

• 过滤出请求地址中包含“user”的请求

http.request.uri contains User

• 过滤域名

http.host == www.baidu.com

• 模糊过滤域名

http.host contains baidu

• 过滤请求的content_type类型

http.content_type == 'text/html'

• 过滤http请求方法

http.request.method == GET

• 过滤http响应状态码

http.response.code == 200

• 过滤含有指定cookie的http数据包

http.cookie contains userid

五、长度和内容的过滤

• 针对数据段长度过滤

udp.length < 20
http.content_length <= 30

六、错误报文过滤

此错误是wireshark根据计算为了分析展示的错误，实际报文不会有此信息

• 过滤出显示 TCP Previous segment not captured 报文

tcp.analysis.lost_segment

原因：前一个分片丢失，有可能是网络中确实丢失了，或者晚到了，也有可能是wireshark本身并没有抓到。

• 过滤出显示TCP Dup ACK 报文

tcp.analysis.duplicate_ack

原因：当网络中存在乱序或者丢包时，将会导致接收端接收到的seq number不连续。此时接收端会向发送端回复重复ack，ack值为期望收到的下一个seq number。重复ack数大于等于3次将会触发快速重传。

• 过滤出显示 TCP Out-Of-Order 报文

tcp.analysis.out_of_order

原因：一般来说是网络拥塞，导致顺序包抵达时间不同，延时太长，或者包丢失，需要重新组合数据单元

• 过滤出 TCP ZeroWindows 的报文

tcp.window_size == 0 

原因：当发送端发包速率大于接收端的接收速率时，会造成接收端TCP window越来越小，当接收端在反馈ack时携带的window size=0时，wireshark标记TCP Zero window。此时发送端将暂停发送数据，直到收到接收端window size!=0的标志。

• 过滤出 TCP Window Full 的报文

tcp.analysis.window_full

原因：是指的发送端发送的数据已经达到的接受窗口的上限。发送端暂停发送，等待新的接收窗口的通告。