Wireshark筛选器学习

Hubz 字数: 3400 阅读耗时: 8 分钟 2025/06/10 2025/06/10 博客独享热度: 9 评论: 0


# 筛选地址
ip.addr == 10.73.22 

# 筛选端口号
tcp.port == 8421

# 根据返回值内容进行筛选
http.file_data contains "IT" 

# 匹配JSON格式的参数
http.content_type contains "application/json" and 
http.content_type == "application/json;charset=utf-8"

# 筛选请求内的参数值
http contains "123456"

# 筛选请求类型
http.request.method == "POST"

# 筛选URI
http.request.uri contains "username=admin"

http contains "{\"userId\": 1001}"  # 匹配 JSON 中的 userId=1001

# 筛选所有状态码为 200 的响应
http.response.code == 200

# 匹配 JSON 响应中的 success=true
http.response contains "success":true



# 源地址
表达式为：ip.src == 192.168.0.1
ip.src == 10.230.0.0/16 显示来自10.230网段的封包。

# 目的地址
表达式为：ip.dst == 192.168.0.1

# 源或者目的地址
表达式为：ip.addr == 192.168.0.1,
或者 ip.src == 192.168.0.1 or ip.dst == 192.168.0.1
ip.src == 192.168.0.1 || ip.dst == 192.168.0.1

# 排除以上数据包
表达式为：!(ip.src == 192.168.0.1)
或者：ip.src != 10.1.2.3

根据响应流找到请求流

要根据 响应流量（返回包） 找到对应的 请求流量（传入包），可以通过 Wireshark 的 TCP 流追踪 功能实现。以下是具体操作步骤：

通过响应包直接追踪 TCP 流

定位响应包
先通过状态码、响应内容等筛选出目标响应包（参考上一问题的筛选方法）。
右键选择 “Follow TCP Stream”
选中响应包 → 右键 → Follow → TCP Stream（快捷键 Ctrl+Alt+Shift+T）。
分析完整请求-响应流程
Wireshark 会自动打开一个新窗口，显示该 TCP 连接的所有数据包，包括：
- 请求包（客户端 → 服务器）：通常是流中的第一个包（SYN 之后的 PSH, ACK 包）。
- 响应包（服务器 → 客户端）：包含返回值的包。

Lua