Wireshark 过滤常用使用技巧

1、地址过滤：

ip.src==   

ip.dst==

（1）查找源地址为192.168.1.15的包，输入 ip.src==192.168.1.15

（2）查找目的地址为192.168.1.15的包，输入 ip.dst==192.168.1.15

2、协议过滤：

需要过滤HTTP协议的数据包，直接在搜索框内输入 HTTP，回车即可；

3、端口过滤：

tcp.port==

需要过滤502端口的数据包，直接在搜索框内输入 tcp.port==502，回车即可。

还可以区分源、目的如：

tcp.srcport==

tcp.dstport==

4、流过滤：

tcp.stream eq 2

需要过滤第二条流，就在搜索框内直接输入tcp.stream eq 2。回车即可。

同时过滤第二条和第四条流，输入tcp.stream eq 2 || tcp.stream eq 4 ；使用“||”符合。

5、条件且关系：and

使用and代表两个搜索条件为且的关系，即条件同时成立，如搜索源地址为192.168.1.15的http协议报文包，输入 ip.src==192.168.1.15 and http

6、条件或关系：or

使用or代表两个条件为或关系，即条件有一个成功即可，如搜索源地址，或者目的地址为192.168.1.15的数据包，输入ip.src==192.168.1.15 or ip.dst==192.168.1.15 回车即可；

7、取反：“!" 和 "not” 都表示取反；

如搜索不包含源地址为192.168.1.15的数据包，输入！ ip.src==192.168.1.15 回车即可。

8、根据固定字符串查找

按Ctrl + F 后，在第二列直接输入想查找的字符串，回车即可。

注意切换英文输入法。