Wireshark 显示过滤器语法手册
深度解析每一比特的价值。通过掌握高效的过滤表达式,您可以从海量报文中瞬间锁定异常流量,提升网络排障与协议分析的检索效率。
过滤器语法核心
结构化呈现过滤逻辑的构成要素,包括协议字段、比较操作符和逻辑连接词。
| 类型 | 操作符 | 示例 | 说明 |
|---|---|---|---|
| 等于 |
== 或 eq
|
ip.addr == 1.1.1.1
|
匹配指定的IP地址 |
| 不等于 |
!= 或 ne
|
tcp.port != 80
|
排除特定端口的流量 |
| 包含 |
contains
|
http contains "login"
|
检查协议字段是否包含特定字符串 |
| 正则匹配 |
matches
|
http.host matches "\.com$"
|
使用PCRE正则表达式进行复杂匹配 |
| 逻辑与 |
&& 或 and
|
ip.src == 1.1.1.1 && tcp.port == 443
|
同时满足多个过滤条件 |
捕获过滤器 vs 显示过滤器
消除对两种过滤机制的混淆,优化分析性能。
捕获过滤器 (Capture Filters)
在数据包写入磁盘前进行过滤。使用BPF语法。
- 应用时机: 捕获开始前设置
-
语法示例:
host 192.168.1.1 - 性能: 极高,减少磁盘IO和内存占用
- 限制: 捕获后无法恢复被过滤掉的数据
显示过滤器 (Display Filters)
在已捕获的数据包中进行筛选。使用Wireshark专用语法。
- 应用时机: 捕获中或捕获完成后随时更改
-
语法示例:
ip.addr == 192.168.1.1 - 性能: 取决于数据包总量和CPU速度
- 限制: 不影响磁盘上的原始数据文件