wireshark常见使用表达式

- - 1. 捕获过滤器 (Capture Filters)
  - - 基本捕获过滤器
    - 组合捕获过滤器
  - 2. 显示过滤器 (Display Filters)
  - - 基本显示过滤器
    - 复杂显示过滤器
    - 协议特定显示过滤器
  - 3. 进阶显示过滤器技巧
  - - 使用函数和操作符
    - 逻辑操作符
  - 4. 常见网络协议过滤表达式示例
  - - HTTP 协议
    - HTTPS 协议
    - DNS 协议
    - DHCP 协议
    - ARP 协议
    - ICMP 协议
    - SMTP 协议
    - POP3 协议
    - IMAP 协议

1. 捕获过滤器 (Capture Filters)

捕获过滤器使用 Berkeley Packet Filter (BPF) 语法，主要用于在捕获数据包时进行过滤。以下是一些捕获过滤器的示例：

基本捕获过滤器

捕获所有 TCP 包：
```
tcp
```
捕获特定 IP 地址的数据包：
```
host 192.168.1.1
```
捕获特定网络的数据包：
```
net 192.168.1.0/24
```
捕获特定端口的数据包：
```
port 80
```
捕获源地址为特定 IP 的数据包：
```
src host 192.168.1.1
```
捕获目标地址为特定 IP 的数据包：
```
dst host 192.168.1.1
```

组合捕获过滤器

捕获特定源地址且目标端口为 80 的数据包：
```
src host 192.168.1.1 and port 80
```

捕获特定源和目标地址的数据包：

src host 192.168.1.1 and dst host 192.168.1.2

捕获 TCP 和 UDP 包：
```
tcp or udp
```

2. 显示过滤器 (Display Filters)

显示过滤器用于捕获后过滤和分析数据包，语法更加灵活和强大。以下是一些常见的显示过滤器及其用法：

基本显示过滤器

过滤 TCP 包：
```
tcp
```
过滤 HTTP 请求：
```
http.request
```

过滤特定 IP 地址的源目地址：

ip.src == 192.168.1.1
ip.dst == 192.168.1.1

过滤特定端口的 TCP 包：
```
tcp.port == 80
```

复杂显示过滤器

过滤特定 IP 地址且包含 HTTP 请求的数据包：
```
ip.src == 192.168.1.1 && http.request
```

过滤 TCP 三次握手的数据包：

tcp.flags.syn == 1 && tcp.flags.ack == 0 || tcp.flags.syn == 1 && tcp.flags.ack == 1 || tcp.flags.ack == 1 && tcp.flags.syn == 0 && tcp.flags.fin == 0

过滤特定子网内的所有 ICMP 包：
```
icmp && ip.src == 192.168.1.0/24
```

过滤 HTTP POST 请求中包含特定字符串的数据包：

http.request.method == "POST" && frame contains "search_string"

过滤所有源自特定 IP 地址并且端口范围在 1000 到 2000 之间的 TCP 包：
```
ip.src == 192.168.1.1 && tcp.srcport >= 1000 && tcp.srcport <= 2000
```

协议特定显示过滤器

过滤 DHCP 请求：
```
bootp.type == 1
```
过滤 DNS 响应：
```
dns.flags.response == 1
```
过滤 ARP 请求：
```
arp.opcode == 1
```
过滤 TLS（前身为 SSL）握手包：
```
tls.handshake.type == 1
```

3. 进阶显示过滤器技巧

使用函数和操作符

包含特定字符串的包：
```
frame contains "example.com"
```
过滤特定字节序列：
```
data.data contains 0A:0B:0C:0D
```

过滤特定时间范围内的包：

frame.time >= "2024-06-01 00:00:00" && frame.time <= "2024-06-01 23:59:59"

逻辑操作符

逻辑 AND：
```
tcp && ip.src == 192.168.1.1
```
逻辑 OR：
```
http || dns
```
逻辑 NOT：
```
!arp
```

4. 常见网络协议过滤表达式示例

HTTP 协议

过滤所有 HTTP 请求：
```
http.request
```
过滤所有 HTTP 响应：
```
http.response
```
过滤特定 URL 的 HTTP 请求：
```
http.request.uri contains "login"
```
分析特定网站的 HTTP 流量：
```
http && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)
```
此过滤器显示所有与 IP 地址 192.168.1.2 相关的 HTTP 流量。

HTTPS 协议

过滤 HTTPS 流量（基于端口）：
```
tcp.port == 443
```

DNS 协议

过滤所有 DNS 查询：
```
dns.flags.response == 0
```
过滤所有 DNS 响应：
```
dns.flags.response == 1
```

DHCP 协议

过滤所有 DHCP 请求：
```
bootp.type == 1
```
过滤所有 DHCP 响应：
```
bootp.type == 2
```

ARP 协议

过滤所有 ARP 请求：
```
arp.opcode == 1
```
过滤所有 ARP 响应：
```
arp.opcode == 2
```

ICMP 协议

过滤所有 ICMP 请求（Echo Request）：
```
icmp.type == 8
```
过滤所有 ICMP 响应（Echo Reply）：
```
icmp.type == 0
```
调试网络中的 ICMP 流量：
```
icmp && (ip.src == 192.168.1.2 || ip.dst == 192.168.1.2)
```
此过滤器显示所有与 IP 地址 192.168.1.2 相关的 ICMP 流量。