在網絡故障排除過程中，Wireshark是一款非常強大的工具，它可以用來分析網絡數據包并解決各種問題。本文將介紹一些好用的Wireshark過濾器，以便更有效地進行故障排除。

分析網絡行為和排除網絡故障就像用漏斗過濾渣滓。因此，網絡協議分析儀 Wireshark 通過幫助網絡工程師過濾特定的數據段，如特定的 IP 地址、值或協議，使故障排除過程更易于管理。
從網絡流量的捕獲或跟蹤文件開始，可以應用過濾器將搜索范圍縮小到特定的數據段，如特定的 IP 地址、值或協議，從而使故障排除過程更易于管理。

Wireshark 過濾器： 網絡分析必備工具

一、Wireshark過濾器
我們列出了一系列有用的過濾器，以提高數據分析效率。這些過濾器適用于實時捕獲和導入的文件，可精確檢查協議字段和數據流的 HEX 值，滿足各種故障排除方案的獨特需求。以下是他們的最佳選擇：
1、ip.addr == x.x.x.x
過濾以特定 IP 地址作為源地址或目標地址的數據包。是分析進出特定 IP 流量的理想工具。

2、ip.addr == x.x.x.x && ip.addr == y.y.y.y
縮小兩個 IP 地址之間的通信范圍，簡化數據分析。Wireshark 會跟蹤協議棧各級端點之間的特定會話，并允許您明確過濾這些會話。查看 “統計”->“對話 ”對話框，即可獲得當前打開的跟蹤中的對話列表。

3、http or dns
側重于 HTTP 和 DNS 協議，便于調查網絡流量和域名解析。

4、tcp.port == xxx
通過特定端口號隔離 TCP 數據包，簡化通過指定端口的流量檢查。如果需要過濾多個端口，也可以提供一個過濾值列表：tcp.port in {80, 443}。這將過濾 80 或 443 端口上的所有流量。

5、tcp.seq == x
按 TCP 序列號過濾數據包，用于分析數據包順序。

6、tcp.flags.reset==1
顯示所有 TCP 重置，這對識別突然終止的連接至關重要。

7、tcp.flags.push==1
識別 TCP 推送事件，對排除數據流問題至關重要。

8、tcp 包含 "關鍵字
顯示包含指定術語的 TCP 數據包，幫助進行特定內容搜索。請注意，引號內的字符串將被轉義。因此，搜索文件補丁可能會產生意想不到的結果。為避免這種情況，也可以強制搜索避免內容轉義，例如： tcp contains r “C:foo”

9、tcp.stream eq X
跟蹤特定的 TCP 數據流，從而實現連續的數據包跟蹤。要查看特定跟蹤中所有可用流的概覽，可使用 Statistics->Conversations 對話框。

10、http.request
捕獲 HTTP GET 和 POST 請求，突出顯示網頁訪問模式。具體來說，它會捕獲存在 http.request 字段的所有數據包。如果只需過濾特定請求，可相應指定：http.request.method in {POST,PUSH}

11、!(arp 或 icmp 或 dns)
排除指定協議，集中分析相關流量。

12、udp 包含 “xx:xx:xx” !
按十六進制值過濾 UDP 數據包，用于精確定位特定數據段。

13、dns.flags.rcode != 0
識別有解析錯誤的 DNS 請求，對診斷域名問題至關重要。

14、tcp.payload[0:2] == bb:cc
過濾所有前兩個字節包含 bb:cc 的報文的有效載荷字段。這可以用在很多地方，例如，eth.addr[0:3] == 94:37:f7 將過濾所有來自具有華為供應商 ID 的網卡的流量。

二、專業tips：
1.如何將常用篩選器添加為按鈕？
地址欄右側的小 + 允許創建所謂的 “過濾按鈕”。這些按鈕可用作常用顯示過濾表達式的快捷方式。

添加新按鈕時，可以將字段直接拖到 + 號上，也可以在應用篩選器時點擊它。在后一種情況下，它會自動將當前的篩選器添加到創建對話框中，只需為按鈕提供一個名稱即可。在名稱中添加兩個斜線 // 后，按鈕甚至可以組合在一起。
2. 如何拖放篩選器？
與其復制篩選器，不如直接將篩選器拖入搜索欄。

3、捕獲可操作的網絡數據
網絡數據包決定著故障排除過程的成敗。網絡數據包捕獲的主要優勢之一是其提供的詳細程度。捕獲數據包內的所有信息（包括源地址和目標地址、協議信息和有效載荷數據）的能力可對網絡流量進行更全面的分析，使其成為排除網絡故障的寶貴工具。
ProfiShark 或 IOTA 等數據包捕獲工具具有硬件時間戳和硬件捕獲過濾器等高級功能，可提供高保真捕獲文件以供分析。

Profishark
用于現場故障排除和工業網絡的高性能現場數據包捕獲。

高保真現場流量捕獲

硬件時間戳

非侵入式流量訪問

與 Wireshark 或任何 PCAP 分析儀結合使用

故障安全

IOTA

流量捕獲與分析，只需一個盒子。中小型企業和數據中心。

部署在邊緣和遠程站點

集成分析儀表板

在線或帶外

1 TB 或 2 TB 捕獲存儲

捕獲性能 3.2 Gbps

審核編輯 黃宇