Wireshark 过滤常用使用技巧

1、地址过滤：ip.src== ip.dst==（1）查找源地址为192.168.1.15的包，输入 ip.src==192.168.1.15（2）查找目的地址为192.168.1.15的包，输入ip.dst==192.168.1.15

2、协议过滤：需要过滤HTTP协议的数据包，直接在搜索框内输入 HTTP，回车即可；

3、端口过滤：tcp.port==需要过滤502端口的数据包，直接在搜索框内输入 tcp.port==502，回车即可。还可以区分源、目的如：tcp.srcport==tcp.dstport==

4、流过滤：tcp.stream eq 2需要过滤第二条流，就在搜索框内锂淅铄旰直接输入tcp.stream eq 2。回车即可。同时过滤第二条和第四棰很于秋条流，输入tcp.stream eq 2 || tcp.stream eq 4 ；使用“||”符合。

5、条件且关系：and使用and代表两个搜索条件为且的关系，即条件同时成立，如搜索源地址为192.168.1.15的http协议报文包，输入 ip.src==192.168.1.15 and http

6、条件或关系：or使用or代表两个条件为或关系，即条件有一个成功即可，如搜索源地址，或者目的地址为192.168.1.15的数据包，输入ip.src==192.168.1.15 or ip.dst==192.168.1.15 回车即可；

7、取反：“!" 和 "not” 都表示取反；如搜索不包含源地址为192.168.1.15的数据包，输入！ ip.src==192.168.1.15 回车即可。

8、根据固定字符串查找按Ctrl + F 后，在第二列直接输入想查找的字符串，回车即可。注意切换英文输入法。