wireshark怎么设置过滤条件

wireshark是一款非常强大的网络抓包工具，它可以帮助我们捕获和分析网络数据包，以便更好地了解网络状况和问题，在使用Wireshark时，过滤条件功能可以帮助我们快速定位感兴趣的数据包，提高分析效率，本文将详细介绍如何设置Wireshark的过滤条件，帮助您更高效地使用这款工具。,1、1 过滤条件的作用, ,过滤条件是Wireshark中的一项重要功能，它可以根据用户设定的条件筛选出符合条件的数据包，从而帮助我们更快地定位问题，过滤条件可以应用于多个方面，如协议、源地址、目标地址、端口等。,1、2 过滤条件的设置方法,在Wireshark的主界面中，点击顶部菜单栏的“Edit”(编辑),然后选择“Preferences”(首选项)，在弹出的首选项窗口中，点击左侧的“Protocols”(协议)选项卡，然后选择您感兴趣的协议，在右侧的“Filter”(过滤)文本框中，输入您的过滤条件，“ip.src == 192.168.1.100”表示筛选出源IP地址为192.168.1.100的数据包，点击“OK”按钮保存设置。,2、1 筛选特定协议的数据包,如果您只想查看HTTP协议的数据包，可以在过滤条件中输入：“http”，如下所示：,http,2、2 筛选特定来源或目标IP的数据包, ,如果您想查看来自192.168.1.2的数据包，可以在过滤条件中输入：“ip.src == 192.168.1.2”；如果您想查看发往192.168.1.3的数据包，可以在过滤条件中输入：“ip.dst == 192.168.1.3”。,2、3 筛选特定端口的数据包,如果您想查看TCP协议且端口号为80的数据包，可以在过滤条件中输入：“tcp port == 80”；如果您想查看UDP协议且端口号为53的数据包，可以在过滤条件中输入：“udp port == 53”。,2、4 筛选特定主机名的数据包,如果您想查看与主机名“example.com”相关的数据包，可以在过滤条件中输入：“host name == example.com”。,3、1 使用通配符,Wireshark支持使用
通配符进行模糊匹配，“ip.src == 192.*.*.*”表示筛选出源IP地址以192开头的所有数据包，需要注意的是，通配符只能用于IP地址和主机名部分。, ,3、2 结合多个条件使用“and”和“or”关键字,如果您想查看同时满足以下两个条件的数据包：协议为HTTP且端口号为80,可以在过滤条件中输入：“http and (tcp port == 80)”，这将筛选出所有HTTP协议且端口号为80的数据包，同样地，您还可以使用“or”关键字表示或的关系。,4、1 如何关闭过滤条件？,在Wireshark的主界面中，点击顶部菜单栏的“Edit”(编辑),然后选择“Preferences”(首选项)，在弹出的首选项窗口中，点击左侧的“Protocols”(协议)选项卡，然后取消选中“Enable filtering”(启用过滤)复选框，点击“OK”按钮保存设置，这样就可以关闭过滤功能。,4、2 如何清除当前的过滤条件？,在Wireshark的主界面中，点击顶部菜单栏的“Edit”(编辑),然后选择“Preferences”(首选项)，在弹出的首选项窗口中，点击左侧的“Protocols”(协议)选项卡，然后点击右侧的“Clear Filter Settings”(清除过滤设置)按钮，点击“OK”按钮保存设置，这样就可以清除当前的过滤条件。,