WireShark是一款強(qiáng)大的網(wǎng)絡(luò)封包分析工具，它允許你捕獲網(wǎng)絡(luò)流量并深入分析數(shù)據(jù)包的內(nèi)容。為了高效地從大量的網(wǎng)絡(luò)數(shù)據(jù)中找到你需要的信息，掌握其篩選功能至關(guān)重要。WireShark提供了兩種主要的篩選方式：捕獲過(guò)濾器（Capture Filters）和顯示過(guò)濾器（Display Filters）。

捕獲過(guò)濾器（Capture Filters）

捕獲過(guò)濾器在數(shù)據(jù)包捕獲開始之前應(yīng)用，用于減少被捕獲的數(shù)據(jù)量，僅捕獲滿足特定條件的流量。這可以節(jié)省硬盤空間和分析時(shí)間。捕獲過(guò)濾器的語(yǔ)法與libpcap/WinPcap兼容，通常用于過(guò)濾掉不感興趣的流量類型。

示例：

• 捕獲特定IP的流量：host 192.168.1.100

• 捕獲特定端口的流量：port 80

• 捕獲特定協(xié)議的流量：tcp

顯示過(guò)濾器（Display Filters）

顯示過(guò)濾器則在數(shù)據(jù)包捕獲完成后應(yīng)用，用于從已捕獲的數(shù)據(jù)中篩選出需要分析的數(shù)據(jù)包。顯示過(guò)濾器更加靈活且功能強(qiáng)大，支持復(fù)雜的邏輯表達(dá)式，可以基于幾乎所有的數(shù)據(jù)包字段進(jìn)行篩選。

常用顯示過(guò)濾器示例：

• 查看特定IP的通信：ip.addr == 192.168.1.100

• 篩選特定端口的流量：tcp.port == 80 或 udp.port      == 53

• 依據(jù)協(xié)議篩選：http 或 dns

• 組合條件：(http && tcp.port == 80) || (dns && udp.port == 53)

• 時(shí)間相關(guān)：frame.time > "2024-06-30 23:59:59"

• 包含特定字符串的內(nèi)容過(guò)濾：http contains "login"

使用技巧：

• 利用自動(dòng)補(bǔ)全功能：在過(guò)濾器欄輸入時(shí)，Wireshark會(huì)提供可能的字段補(bǔ)全建議。

• 學(xué)習(xí)和參考Wireshark自帶的過(guò)濾表達(dá)式助手（Filter Expression）和在線文檔，以獲得更詳細(xì)的過(guò)濾器語(yǔ)法和示例。

• 使用顏色標(biāo)記規(guī)則（Coloring Rules）來(lái)視覺(jué)上區(qū)分不同的數(shù)據(jù)包類型或條件，便于快速識(shí)別。

• 對(duì)于復(fù)雜的過(guò)濾需求，可以分步篩選，先用較寬泛的條件過(guò)濾，再逐步細(xì)化。

通過(guò)熟練應(yīng)用這兩種過(guò)濾器，你可以高效地定位并分析網(wǎng)絡(luò)中的特定通信，無(wú)論是排查故障、分析協(xié)議行為還是進(jìn)行安全審計(jì)。