在網(wǎng)絡(luò)故障排除過(guò)程中，Wireshark是一款非常強(qiáng)大的工具，它可以用來(lái)分析網(wǎng)絡(luò)數(shù)據(jù)包并解決各種問(wèn)題。本文將介紹一些好用的Wireshark過(guò)濾器，以便更有效地進(jìn)行故障排除。

分析網(wǎng)絡(luò)行為和排除網(wǎng)絡(luò)故障就像用漏斗過(guò)濾渣滓。因此，網(wǎng)絡(luò)協(xié)議分析儀 Wireshark 通過(guò)幫助網(wǎng)絡(luò)工程師過(guò)濾特定的數(shù)據(jù)段，如特定的 IP 地址、值或協(xié)議，使故障排除過(guò)程更易于管理。
從網(wǎng)絡(luò)流量的捕獲或跟蹤文件開始，可以應(yīng)用過(guò)濾器將搜索范圍縮小到特定的數(shù)據(jù)段，如特定的 IP 地址、值或協(xié)議，從而使故障排除過(guò)程更易于管理。

Wireshark 過(guò)濾器： 網(wǎng)絡(luò)分析必備工具

一、Wireshark過(guò)濾器
我們列出了一系列有用的過(guò)濾器，以提高數(shù)據(jù)分析效率。這些過(guò)濾器適用于實(shí)時(shí)捕獲和導(dǎo)入的文件，可精確檢查協(xié)議字段和數(shù)據(jù)流的 HEX 值，滿足各種故障排除方案的獨(dú)特需求。以下是他們的最佳選擇：
1、ip.addr == x.x.x.x
過(guò)濾以特定 IP 地址作為源地址或目標(biāo)地址的數(shù)據(jù)包。是分析進(jìn)出特定 IP 流量的理想工具。

2、ip.addr == x.x.x.x && ip.addr == y.y.y.y
縮小兩個(gè) IP 地址之間的通信范圍，簡(jiǎn)化數(shù)據(jù)分析。Wireshark 會(huì)跟蹤協(xié)議棧各級(jí)端點(diǎn)之間的特定會(huì)話，并允許您明確過(guò)濾這些會(huì)話。查看 “統(tǒng)計(jì)”->“對(duì)話 ”對(duì)話框，即可獲得當(dāng)前打開的跟蹤中的對(duì)話列表。

3、http or dns
側(cè)重于 HTTP 和 DNS 協(xié)議，便于調(diào)查網(wǎng)絡(luò)流量和域名解析。

4、tcp.port == xxx
通過(guò)特定端口號(hào)隔離 TCP 數(shù)據(jù)包，簡(jiǎn)化通過(guò)指定端口的流量檢查。如果需要過(guò)濾多個(gè)端口，也可以提供一個(gè)過(guò)濾值列表：tcp.port in {80, 443}。這將過(guò)濾 80 或 443 端口上的所有流量。

5、tcp.seq == x
按 TCP 序列號(hào)過(guò)濾數(shù)據(jù)包，用于分析數(shù)據(jù)包順序。

6、tcp.flags.reset==1
顯示所有 TCP 重置，這對(duì)識(shí)別突然終止的連接至關(guān)重要。

7、tcp.flags.push==1
識(shí)別 TCP 推送事件，對(duì)排除數(shù)據(jù)流問(wèn)題至關(guān)重要。

8、tcp 包含 "關(guān)鍵字
顯示包含指定術(shù)語(yǔ)的 TCP 數(shù)據(jù)包，幫助進(jìn)行特定內(nèi)容搜索。請(qǐng)注意，引號(hào)內(nèi)的字符串將被轉(zhuǎn)義。因此，搜索文件補(bǔ)丁可能會(huì)產(chǎn)生意想不到的結(jié)果。為避免這種情況，也可以強(qiáng)制搜索避免內(nèi)容轉(zhuǎn)義，例如： tcp contains r “C:foo”

9、tcp.stream eq X
跟蹤特定的 TCP 數(shù)據(jù)流，從而實(shí)現(xiàn)連續(xù)的數(shù)據(jù)包跟蹤。要查看特定跟蹤中所有可用流的概覽，可使用 Statistics->Conversations 對(duì)話框。

10、http.request
捕獲 HTTP GET 和 POST 請(qǐng)求，突出顯示網(wǎng)頁(yè)訪問(wèn)模式。具體來(lái)說(shuō)，它會(huì)捕獲存在 http.request 字段的所有數(shù)據(jù)包。如果只需過(guò)濾特定請(qǐng)求，可相應(yīng)指定：http.request.method in {POST,PUSH}

11、!(arp 或 icmp 或 dns)
排除指定協(xié)議，集中分析相關(guān)流量。

12、udp 包含 “xx:xx:xx” !
按十六進(jìn)制值過(guò)濾 UDP 數(shù)據(jù)包，用于精確定位特定數(shù)據(jù)段。

13、dns.flags.rcode != 0
識(shí)別有解析錯(cuò)誤的 DNS 請(qǐng)求，對(duì)診斷域名問(wèn)題至關(guān)重要。

14、tcp.payload[0:2] == bb:cc
過(guò)濾所有前兩個(gè)字節(jié)包含 bb:cc 的報(bào)文的有效載荷字段。這可以用在很多地方，例如，eth.addr[0:3] == 94:37:f7 將過(guò)濾所有來(lái)自具有華為供應(yīng)商 ID 的網(wǎng)卡的流量。

二、專業(yè)tips：
1.如何將常用篩選器添加為按鈕？
地址欄右側(cè)的小 + 允許創(chuàng)建所謂的 “過(guò)濾按鈕”。這些按鈕可用作常用顯示過(guò)濾表達(dá)式的快捷方式。

添加新按鈕時(shí)，可以將字段直接拖到 + 號(hào)上，也可以在應(yīng)用篩選器時(shí)點(diǎn)擊它。在后一種情況下，它會(huì)自動(dòng)將當(dāng)前的篩選器添加到創(chuàng)建對(duì)話框中，只需為按鈕提供一個(gè)名稱即可。在名稱中添加兩個(gè)斜線 // 后，按鈕甚至可以組合在一起。
2. 如何拖放篩選器？
與其復(fù)制篩選器，不如直接將篩選器拖入搜索欄。

3、捕獲可操作的網(wǎng)絡(luò)數(shù)據(jù)
網(wǎng)絡(luò)數(shù)據(jù)包決定著故障排除過(guò)程的成敗。網(wǎng)絡(luò)數(shù)據(jù)包捕獲的主要優(yōu)勢(shì)之一是其提供的詳細(xì)程度。捕獲數(shù)據(jù)包內(nèi)的所有信息（包括源地址和目標(biāo)地址、協(xié)議信息和有效載荷數(shù)據(jù)）的能力可對(duì)網(wǎng)絡(luò)流量進(jìn)行更全面的分析，使其成為排除網(wǎng)絡(luò)故障的寶貴工具。
ProfiShark 或 IOTA 等數(shù)據(jù)包捕獲工具具有硬件時(shí)間戳和硬件捕獲過(guò)濾器等高級(jí)功能，可提供高保真捕獲文件以供分析。

Profishark
用于現(xiàn)場(chǎng)故障排除和工業(yè)網(wǎng)絡(luò)的高性能現(xiàn)場(chǎng)數(shù)據(jù)包捕獲。

高保真現(xiàn)場(chǎng)流量捕獲

硬件時(shí)間戳

非侵入式流量訪問(wèn)

與 Wireshark 或任何 PCAP 分析儀結(jié)合使用

故障安全

IOTA

流量捕獲與分析，只需一個(gè)盒子。中小型企業(yè)和數(shù)據(jù)中心。

部署在邊緣和遠(yuǎn)程站點(diǎn)

集成分析儀表板

在線或帶外

1 TB 或 2 TB 捕獲存儲(chǔ)

捕獲性能 3.2 Gbps

審核編輯 黃宇