当前位置：首页 > news >正文

wireshark常用过滤命令

news 2026/2/2 16:37:46

wireshark常用过滤命令

wireshark抓包介绍
- 单机单点：
- 单机多点：
- 双机并行：
wireshark界面认识
- 默认布局
- 调整布局(常用)
- 显示FCS错误
wireshark常见列
- Time
- 回包
- 数据报对应网络模型
wireshark基本操作
- - 结束抓包
  - 再次开始抓包
**wireshark常用过滤命令**
- 一、过滤协议
- 二、过滤IP
- 三、过滤端口
- 四、过滤方向
- 五、过滤http
- - ①过滤http模式
  - ②模糊匹配字符串
- 六、tcp stream过滤
- 七、过滤rst
- 常用示例：
- - 分析DSCP值

wireshark抓包介绍

有99%的网络故障都是可以通过通用故障排除流程来解决的。
只有当常规手段无法查明网络故障时才抓包进行分析。
抓包分析也不是万能的，无法看出网络拓扑是怎样的，路由是怎样走的，哪根网线断了。

单机单点：

只抓本机网络数据包

单机多点：

必须有一台可管理交换机，在交换机上配置端口镜像功能，将其他端口上的流量都复制到抓包主机所连端口，这样就能在一台主机上抓去其他主机甚至全部网络流量的网络数据包

双机并行：

是在特定网络设备，比如防火墙的前后端各部署一个抓包主机同时抓包，然后进行比对分析，看数据包在经过特定的网络设备时，是否存在异常

wireshark界面认识

默认布局

调整布局(常用)

https://blog.csdn.net/qq_27071221/article/details/122979427
编辑—》首选项—》外观—》布局

显示FCS错误

wireshark默认不显示FCS错误，需要自己开启配置

# 过滤所有错包
eth.fcs_bad

在数据包列表中，所有的错包都会带上这个小尾巴。

出现FCS值不匹配，很大概率是网络硬件故障。
0x00000000这个0值错包，虽然Google认为是Wireshark误判，但实际上很少见，依然大概率是硬件故障。

出现错包，对TCP协议并无影响，但会影响UDP协议，因为UDP协议没有纠错机制。

# 过滤所有错包，并 排除0值错包
eth.fcs_bad and !eth.fcs == 0x00000000

wireshark常见列

Time

Time(时间)列：从第2个数据包开始，都是相对于第1个数据包的时间
时间是可以切换成绝对时间的，但建议用默认设置。

回包

这两个箭头，表示一个发包，一个回包。

数据报对应网络模型

wireshark基本操作

打开软件
选择网卡
即开始抓包，

结束抓包

再次开始抓包