Filter

概述

参考:

WireShark 有两类过滤器

  • DisplayFilters(显示过滤器) # 过滤已捕获的数据包
  • 捕获过滤器 # 只捕获符合条件的数据包

视图 - 内部 - 支持的协议 菜单项中,可以查看当前 WireShark 支持的所有可用于编写过滤表达式的协议关键字和协议中的字段关键(比如 tcp、tcp.port、etc.)。

显示过滤器

参考:

在 WireShark GUI 过滤器工具栏中,可以通过 Filter Expressions(过滤器表达式) 隐藏不敢兴趣的数据包,仅显示某些特定的包,比如

  • 特定协议的包
  • 特定字段的包
  • 满足某些字段的值进行比较后的包
  • 等等等等

通过 文件 - 导出特定分组 菜单项将过滤的结果导出到一个新的文件中

显示过滤器表达式

参考:

运算符

英文符号描述示例备注
eq==完全匹配ip.addr == 192.168.1.1
contains模糊匹配_ws.col.info contains "Client Hello"仅对 Protocol, field or slice 有效。e.g. ip.add 不可以使用 contains 运算符
etc.

EXAMPLE

https://gitlab.com/wireshark/wireshark/-/wikis/DisplayFilters

!tcp.analysis.flags # 去掉 Bad TCP 的包

捕获过滤器

参考:

点击 “捕获选项” ,打开捕获选项窗口,在下方可以输入捕获过滤器表达式。

center|1000

捕获过滤器表达式


最后修改 May 29, 2025: wireshark. dns. ssl_tls (07ace48e)