Wireshark过滤规则

两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍：

 1. 捕捉过滤器
捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。
设置捕捉过滤器的步骤是：
– 选择 capture -> options。
– 填写”capture filter”栏或者点击”capture filter”按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。
– 点击开始（Start）进行捕捉。

Protocol（协议）:
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果没有特别指明是什么协议，则默认使用所有支持的协议。
Direction（方向）:
可能的值: src, dst, src and dst, src or dst
如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。
例如，”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的。 <br
Host(s):
可能的值： net, port, host, portrange.
如果没有指定此值，则默认使用”host”关键字。
例如，”src 10.1.1.1″与”src host 10.1.1.1″相同。
Logical Operations（逻辑运算）:
可能的值：not, and, or.
否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。
例如，
“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。
“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。
例子：

显示目的TCP端口为3128的封包。

显示来源IP地址为10.1.1.1的封包。

显示目的或来源IP地址为10.1.2.3的封包。

显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包。

显示除了icmp以外的所有封包。（icmp通常被ping工具使用）

显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。

显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。
注意事项：
当使用关键字作为值时，需使用反斜杠“\”。
“ether proto \ip” (与关键字”ip”相同).
这样写将会以IP协议作为目标。

“ip proto \icmp” (与关键字”icmp”相同).
这样写将会以ping工具常用的icmp作为目标。

可以在”ip”或”ether”后面使用”multicast”及”broadcast”关键字。
当您想排除广播请求时，”no broadcast”就会非常有用。
查看 TCPdump的主页以获得更详细的捕捉过滤器语法说明。
在Wiki Wireshark website上可以找到更多捕捉过滤器的例子。
2.显示过滤器：
通常经过捕捉过滤器过滤后的数据还是很复杂。此时您可以使用显示过滤器进行更加细致的查找。
它的功能比捕捉过滤器更为强大，而且在您想修改过滤器条件时，并不需要重新捕捉一次。

Protocol（协议）:
您可以使用大量位于OSI模型第2至7层的协议。点击”Expression…”按钮后，您可以看到它们。
比如：IP，TCP，DNS，SSH

您同样可以在如下所示位置找到所支持的协议：

Wireshark的网站提供了对各种 协议以及它们子类的说明。
String1, String2 (可选项):
协议的子类。
点击相关父类旁的”+”号，然后选择其子类。

Comparison operators （比较运算符）:
可以使用6种比较运算符：

Logical expressions（逻辑运算符）:

被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时，只有当且仅当其中的一个条件满足时，这样的结果才会被显示在屏幕上。
让我们举个例子：
“tcp.dstport 80 xor tcp.dstport 1025”
只有当目的TCP端口为80或者来源于端口1025（但又不能同时满足这两点）时，这样的封包才会被显示。
例子：

显示来源或目的IP地址为10.1.1.1的封包。

显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。
换句话说，显示的封包将会为：
来源IP：除了10.1.2.3以外任意；目的IP：任意
以及
来源IP：任意；目的IP：除了10.4.5.6以外任意

显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。
换句话说，显示的封包将会为：
来源IP：除了10.1.2.3以外任意；同时须满足，目的IP：除了10.4.5.6以外任意

如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。

	表达式正确
	表达式错误

http模式过滤：

举例:
http.request.method == “GET” //wireshark过滤所有请求方式为GET的http请求包，注意GET的http请求包，注意POST为大写
http.request.method == “POST” //wireshark过滤所有请求方式为POST的http请求包，注意POST为大写
http.request.uri == “/img/1.jpg” //过滤请求的uri，取值是域名后的部分
http contains “GET”
http contains “HTTP/1.1” //过滤HTTP/1.1版本的http包，包括请求和响应
GET包
http.request.method == “GET” && http contains “Host: ” //过滤GET请求包，并指定host
http.request.method == “GET” && http contains “User-Agent: “//过滤GET请求包，并指定UA
POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “//过滤协议为http/1.1 200的请求包，并指定文件类型
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
http.response.code==302 //过滤http响应状态码为302的数据包
http.response==1 //过滤所有的http响应包
http.request==1 //过滤所有的http请求，也可以使用http.request
http.cookie contains guid //过滤含有指定cookie的http数据包
http.request.full_uri==”http://www.safecdn.cn/2016/08/wireshark-rule/” //过滤含域名的整个url则需要使用http.request.full_uri
http.server contains “nginx” //过滤http头中server字段含有nginx字符的数据包
http.content_type == “text/html” //过滤content_type是text/html的http响应、post包，即根据文件类型过滤http数据包
http.content_encoding == “gzip” //过滤content_encoding是gzip的http包
http.transfer_encoding == “chunked” //根据transfer_encoding过滤
http.server //过滤所有含有http头中含有server字段的数据包
http.response.phrase == “OK” //过滤http响应中的phrase
http.content_length == 111
http.content_length_header == “111”//根据content_length的数值过滤
http.host==safecdn.cn
http.host contains safecdn.cn//过滤经过指定域名的http数据包，这里的host值不一定是请求中的域名

您可以在Wireshark官方网站或Wiki Wireshark website上找到关于显示过滤器的补充信息。