Wireshark抓包时如何过滤特定IP和端口的流量？

1. 基础知识：Wireshark过滤器的语法与逻辑

在使用Wireshark抓包时，过滤特定IP和端口的流量是一项基本但重要的技能。首先需要了解Wireshark过滤器的基本语法和逻辑运算符。

• ip.addr： 匹配所有涉及指定IP地址的数据包（无论是源还是目标）。
• ip.src： 仅匹配以指定IP地址作为源地址的数据包。
• ip.dst： 仅匹配以指定IP地址作为目标地址的数据包。
• tcp.port： 匹配指定TCP端口号的数据包。

例如，要查看与服务器（IP为192.168.1.100）在端口80上的通信数据，可以输入：

2. 进阶应用：多条件组合过滤

当涉及多个IP或端口时，可以利用逻辑运算符组合条件。例如，如果你想查看来自192.168.1.100或192.168.1.200且端口为443的流量，可以输入：

此外，还可以根据实际需求进一步细化过滤条件。例如，区分源和目标IP：

3. 高级技巧：避免常见错误

错误的过滤表达式可能导致无结果或过多无关数据。以下是一些常见的错误及解决方法：

1. 错误1： 使用了错误的字段名称，例如将“ip.addr”写成“ip.address”。应仔细核对字段名称是否正确。
2. 错误2： 忽略了逻辑运算符的优先级。例如，“ip.addr==192.168.1.100 || tcp.port==80”可能会导致不符合预期的结果。建议使用括号明确优先级。
3. 错误3： 没有区分源和目标IP。如果只关心某一方向的流量，需使用“ip.src”或“ip.dst”。

为了更好地理解过滤器的工作流程，可以通过以下流程图表示：

        graph TD;
            A[开始] --> B{选择IP};
            B -->|是| C{选择端口};
            B -->|否| D[结束];
            C -->|是| E[应用过滤器];
            C -->|否| D;
    

4. 实际案例：复杂场景下的过滤器设计

在实际工作中，可能需要处理更复杂的场景。例如，同时监控多个服务器的HTTP和HTTPS流量，并排除某些特定IP的干扰。以下是一个示例：

这个过滤器的作用是：

• 包含IP为192.168.1.100或192.168.1.200的数据包。
• 仅显示端口为80或443的数据包。
• 排除IP为192.168.1.1的数据包。