Wireshark过滤表达式是网络分析中精准定位流量的核心工具，通过语法规则可快速筛选目标数据包，其过滤体系分为捕获过滤（BPF语法）和显示过滤（基于协议字段），前者在抓包阶段减少冗余流量，后者支持对已捕获数据的多维度检索（如IP、端口、协议类型），常用表达式包括ip.src==192.168.1.1（筛选源IP）、tcp.port==80（HTTP流量）或复合逻辑http && frame.len>1000，高级用户可结合比较运算符、通配符及正则表达式实现深度分析，如排查DNS劫持或HTTP异常请求，合理运用过滤功能显著提升排障效率，避免海量数据带来的分析负担，是网络工程师和安全研究员不可或缺的实战技能。

Wireshark 是一款功能强大的开源网络协议分析工具，广泛应用于网络故障排查、安全分析和协议学习等领域，面对海量的网络数据包，如何快速定位关键信息成为使用 Wireshark 的关键挑战之一，这时，Wireshark过滤表达式（Filter Expressions）便成为提高分析效率的核心手段，本文将详细介绍 Wireshark 过滤表达式的使用方法、常见语法规则以及实际应用场景，帮助读者掌握高效过滤网络流量的技巧。

---

Wireshark过滤表达式概述

Wireshark 提供了两种主要的过滤方式：

1. 捕获过滤器（Capture Filter）：在数据包捕获阶段进行过滤，仅存储符合条件的数据包，适用于减少存储和分析的数据量。
2. 显示过滤器（Display Filter）：在数据包捕获后进行分析时使用，仅显示符合条件的数据包，适用于精细化分析。

本文将重点介绍显示过滤器，因为它在实际使用中更为灵活和常见。

---

Wireshark显示过滤表达式的基本语法

Wireshark 显示过滤器采用类似编程语言的语法，支持多种逻辑运算符和协议字段匹配，以下是常见的过滤表达式语法：

1 基本比较运算符

• （等于）：ip.src == 192.168.1.1
• （不等于）：tcp.port != 80
• >、<、>=、<=（数值比较）：frame.len > 1000
• contains（包含）：http.host contains "google"

2 逻辑运算符

• and（与）：ip.src == 192.168.1.1 and tcp.port == 443
• or（或）：http or dns
• not（非）：not arp

3 协议字段过滤

Wireshark 支持按协议字段过滤，格式为协议名.字段名，

• tcp.port == 80（过滤 TCP 80 端口流量）
• http.request.method == "GET"（过滤 HTTP GET 请求）
• dns.qry.name == "example.com"（过滤 DNS 查询 example.com）

---

常见过滤表达式示例

1 过滤特定 IP 流量

• 仅显示来自某个 IP 的数据包：

  ip.src == 192.168.1.100

• 仅显示目标 IP 为某个地址的数据包：

  ip.dst == 8.8.8.8

• 显示两个 IP 之间的通信：

  ip.src == 192.168.1.1 and ip.dst == 10.0.0.1

2 过滤特定协议

• 仅显示 HTTP 流量：

  http

• 仅显示 DNS 查询：

  dns

• 过滤 HTTPS（TLS）流量：

  tls

3 过滤特定端口

• 显示所有 TCP 80 端口的流量：

  tcp.port == 80

• 显示所有 UDP 53 端口的流量（DNS）：

  udp.port == 53

4 高级过滤

• 过滤 HTTP POST 请求：

  http.request.method == "POST"

• 过滤包含特定字符串的数据包：

  frame contains "password"

• 过滤大包（超过 1000 字节）：

  frame.len > 1000

---

捕获过滤器（Capture Filter）简介

虽然显示过滤器更灵活,但捕获过滤器可以在数据包捕获阶段减少存储负担，其语法基于 BPF（Berkeley Packet Filter），示例如下：

• 仅捕获 HTTP 流量（TCP 80 端口）：

  tcp port 80

• 仅捕获 ICMP 包（如 ping 请求）：

  icmp

• 排除 ARP 广播包：

  not arp

---

实际应用场景

1 网络故障排查

假设某台服务器无法访问,可以使用以下过滤表达式：

ip.addr == 192.168.1.100 and (tcp.port == 80 or tcp.port == 443)

这样可以快速检查该服务器的 HTTP/HTTPS 连接情况。

2 安全分析

检测可疑流量,如：

tcp.flags.syn == 1 and tcp.flags.ack == 0

该表达式可筛选出 SYN 扫描攻击（半开放连接）。

3 协议学习

如果想研究 DNS 查询过程，可以过滤：

dns

并观察 dns.qry.name 和 dns.resp.addr 字段。

---

Wireshark 过滤表达式是网络分析的核心技能，掌握它能够极大提高数据包分析的效率，本文介绍了显示过滤器和捕获过滤器的基本语法、常见示例以及实际应用场景，建议读者在实际工作中多加练习，并结合 Wireshark 的自动补全功能（输入协议名时按 Ctrl+Space）来提高过滤效率。

通过灵活运用过滤表达式,你可以快速定位网络问题、分析安全事件，甚至深入理解各种网络协议的工作原理，希望本文能帮助你更好地使用 Wireshark，成为网络分析的专家！