0x0 Wireshark 介绍

Wireshark 是一款功能强大的网络分析工具，适用于网络专业人员。它提供了出色的过滤器，您可以轻松放大到您认为可能存在问题的位置。过滤器的主要好处是消除定位流量，并缩小要查找的数据类型。

0x1 根据源 IP 地址过滤主机

查找属于某个发送者、某个源IP流量的所有数据包时，我们会使用下面的过滤器方式：

ip.src==192.168.1.4

每当我们在过滤命令框中输入任何命令时，如果命令正确，搜索框会变成绿色，否则会变成红色，如下：

0x2 根据目标 IP 地址过滤主机

查找目标主机（接收者）。

ip.dst == 192.168.1.4

0x3 过滤来自特定 IP 的数据包

ip.addr == 192.168.1.4

0x4 过滤两个主机之间的对话

有时，我们只需要关注两个主机之间的数据包。我们将使用下面的过滤器。

ip.addr eq 192.168.1.4 and ip.addr eq 23.217.250.58

0x5 过滤子网

Wireshark 允许您指定网络及其子网长度。当我们想要查看进出网络的数据包时，我们需要该过滤器。

ip.addr ==192.168.1.0/24

0x6 过滤 IP 地址范围

当我们需要过滤仅属于几个主机的数据包时。我们将使用下面的过滤器。

ip.addr >192.168.1.0 and ip.addr <192.168.1.10

0x7 过滤主机或子网

有些主机可能会产生大量的数据包，这会分散我们在故障排除时的注意力。我们使用以下显示过滤器来显示所有在源或目标字段中不包含特定 IP 的数据包。

为了过滤掉host: !(ip.addr==192.168.1.4)
相同的逻辑也可用于过滤子网：  !(ip.addr==192.168.1.4/24)

0x8 过滤大于 1500 字节的数据包（默认 MTU 大小）

网络 MTU 大小经常是问题的根源。因此，我们可能需要检查是否有大于默认 MTU 大小的数据包。

ip.len > 1500

0x9 过滤不应分片的数据包

某些应用程序不希望其数据包在网络中被碎片化。当路径上的设备（路由器、防火墙、交换机等）收到这些数据包时，它们会检查这些数据包是否大于 MTU 大小，如果是，设备会丢弃这些数据包，从而导致故障。可以使用以下过滤器。

ip.flags.df == 1

0x10 过滤损坏的数据包

16 位报头校验和字段用于 IPv4 报头的错误检查。在传输过程中，数据包的 IP 报头可能会损坏，从而导致数据包丢失。校验和用于检测损坏的数据包。下面的过滤器可用于查找这些数据包。（当 IP 校验和被卸载时，可以在 Wireshark 中看到相同的警告，这意味着数据包没有损坏。）

ip.checksum_bad.expert

0x11 过滤广播和多播数据包

广播或多播风暴是指短时间内广播数据包数量异常高，导致网络故障。检查这些数据包的比例可以了解风暴和网络环路。以下过滤器用于查找多播和广播数据包。

（eth.dst.lg == 1）或（eth.addr == ff:ff:ff:ff:ff:ff）

0x12 仅过滤 IPv4 数据包

有时，我们需要过滤掉广播、多播、IPv6 数据包，以便我们专注于相关数据包。下面的过滤器用于仅显示 IPv4 数据包。

ip

0x13 仅过滤 IPv6 数据包

IPv6 是“Internet 协议版本 6”的缩写。IPv6 是 IETF 设计的“下一代”协议，用于取代当前的 Internet 协议版本、IP 版本 4 或 IPv4。当使用高流量链接时，我们可能需要仅过滤 IPv6 流量。以下过滤器可用于此目的。

0x14 过滤指定dns域名攻击流量

病毒攻击时常用过滤手段，针对域名的攻击行为

eth.addr == 服务器MAC地址 and dns.qry.name == fget-career.com

eth.addr == 服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches 域名) or (dns.qry.name matches 域名))