[点晴永久免费OA]运维收藏备用:最常用的wireshark过滤绝招，故障排查效率直线上升！

当前位置：点晴教程→点晴OA办公管理信息系统 →『经验分享&问题答疑』

admin

2026年1月6日 10:15 本文热度 1573

抓包是网络运维、故障排查、渗透测试的核心技能，但面对海量数据包，盲目全量抓取不仅浪费存储，还会让分析效率大打折扣。

Wireshark 的捕获过滤器和显示过滤器就是解决这个痛点的两把钥匙 —— 前者从源头减少无用数据包，后者在抓包后精准筛选目标内容。今天这篇干货，把两类过滤器的用法、语法、实战案例一次性讲透，建议收藏备用！

捕获过滤器

用于从源头过滤，只抓你需要的包，捕获过滤器的核心是 BPF 语法，作用是在抓包时直接过滤掉无关流量，只保存符合条件的数据包，极大节省磁盘空间和后续分析时间。

捕获过滤器使用位置

核心限定词

host/net 过滤单个主机 IP / 整个网段
src/dst 区分数据包的源地址 / 目标地址
ether 基于 MAC 地址过滤
ip/arp/icmp 过滤对应网络层协议的数据包
tcp/udp 过滤对应传输层协议的数据包
http/ftp/dns 过滤常见应用层协议的数据包

常用运算符

&& ：逻辑与，同时满足多个条件

|| ：逻辑或，满足任一条件即可

! ：逻辑非，排除符合条件的数据包

使用示例

# 捕获源IP为1.1.1.1且目标端口为80的TCP包src 1.1.1.1 && tcp port 80# 根据MAC地址捕获特定设备的数据包ether host 00:24:ac:72:4a:7f# 捕获除8080端口外的所有流量!port 8080# 捕获192.168.1.0/24网段的所有IP包net 192.168.1.0/24 && ip

显示过滤器

用于抓包后精准筛选，按需展示，显示过滤器是抓包完成后对已捕获数据包的二次筛选，语法比捕获过滤器更灵活，支持按协议字段、包长度、内容特征等多维度过滤，是分析数据包的核心工具。

显示过滤器使用位置

IP 地址过滤

# 显示源IP为192.168.0.208的所有包ip.src == 192.168.0.208  # 等价于 ip.src eq 192.168.0.208# 显示目标IP为192.168.0.208的所有包ip.dst == 192.168.0.208  # 等价于 ip.dst eq 192.168.0.208

端口过滤

# 显示所有端口为80的TCP/UDP包（不分源和目标）tcp.port == 80  # 等价于 tcp.port eq 80udp.port == 80# 显示TCP目标端口为80的包（常用于分析客户端请求）tcp.dstport == 80# 显示TCP源端口为80的包（常用于分析服务端响应）tcp.srcport == 80# 显示端口在1-80之间的TCP包tcp.port >= 1 && tcp.port <= 80# 显示TCP 80端口 或 UDP 80端口的包tcp.port == 80 || udp.port == 80

协议过滤

# 显示单个协议的包tcp  # TCP协议udp  # UDP协议arp  # 地址解析协议icmp # 互联网控制报文协议（ping基于此）http # HTTP协议dns  # 域名解析协议ssl  # 加密传输协议# 排除指定协议的包（两种写法等价）!ssl  # 不显示SSL包not ssl

包长度过滤

# udp.length == 26 ：UDP头(8字节) + UDP负载(18字节) = 26字节udp.length == 26# tcp.len >= 7 ：仅指TCP负载数据长度，不包含TCP头tcp.len >= 7# ip.len == 94 ：IP头 + IP负载，不包含以太网头(14字节)ip.len == 94# frame.len == 119 ：整个数据包长度（从以太网头到负载末尾）frame.len == 119

http包过滤

# 1. 按请求方法过滤（GET/POST）http.request.method == "GET"http.request.method == "POST"# 2. 按URL路径过滤http.request.uri == "/admin/resetpwd.php"  # 精准匹配某路径http.request.uri contains ".php"  # URL包含.php后缀的请求# 3. 按内容关键词过滤http contains "username"  # 包内容包含username字符串# 4. 过滤GET请求的完整案例（含Host和User-Agent）http.request.method == "GET" && http contains "Host: " && http contains "User-Agent: "# 5. 过滤POST请求的完整案例http.request.method == "POST" && http contains "Host: " && http contains "User-Agent: "# 6. 过滤HTTP 200响应包（含Content-Type）http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "

高级组合过滤

# 排除特定ARP包：源IP不是192.168.1.1 且 目标IP不是192.168.1.243!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)# 显示两台主机的双向通信包（A→B 或 B→A）(ip.src_host==10.10.252.2 and ip.dst_host==10.2.1.109) or (ip.src_host==10.2.1.109 and ip.dst_host==10.10.252.2)

阅读原文：https://mp.weixin.qq.com/s/i2o3rbJMPJSHGp9R3_aIIw

该文章在 2026/1/6 18:55:02 编辑过

关键字查询

故障

常用

过滤

备用

正在查询...

点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。

点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理，结合码头的业务特点，围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体，是物流码头及其他港口类企业的高效ERP管理信息系统。

点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。

点晴免费OA是一款软件和通用服务都免费，不限功能、不限时间、不限用户的免费OA协同办公管理系统。

[点晴永久免费OA]运维收藏备用:最常用的wireshark过滤绝招，故障排查效率直线上升！

扫码分享