在網(wǎng)絡(luò)故障排除過程中，Wireshark是一款非常強(qiáng)大的工具，它可以用來分析網(wǎng)絡(luò)數(shù)據(jù)包并解決各種問題。本文將介紹一些好用的Wireshark過濾器，以便更有效地進(jìn)行故障排除。

分析網(wǎng)絡(luò)行為和排除網(wǎng)絡(luò)故障就像用漏斗過濾渣滓。因此，網(wǎng)絡(luò)協(xié)議分析儀 Wireshark 通過幫助網(wǎng)絡(luò)工程師過濾特定的數(shù)據(jù)段，如特定的 IP 地址、值或協(xié)議，使故障排除過程更易于管理。
從網(wǎng)絡(luò)流量的捕獲或跟蹤文件開始，可以應(yīng)用過濾器將搜索范圍縮小到特定的數(shù)據(jù)段，如特定的 IP 地址、值或協(xié)議，從而使故障排除過程更易于管理。

Wireshark 過濾器： 網(wǎng)絡(luò)分析必備工具

一、Wireshark過濾器
我們列出了一系列有用的過濾器，以提高數(shù)據(jù)分析效率。這些過濾器適用于實時捕獲和導(dǎo)入的文件，可精確檢查協(xié)議字段和數(shù)據(jù)流的 HEX 值，滿足各種故障排除方案的獨特需求。以下是他們的最佳選擇：
1、ip.addr == x.x.x.x
過濾以特定 IP 地址作為源地址或目標(biāo)地址的數(shù)據(jù)包。是分析進(jìn)出特定 IP 流量的理想工具。

2、ip.addr == x.x.x.x && ip.addr == y.y.y.y
縮小兩個 IP 地址之間的通信范圍，簡化數(shù)據(jù)分析。Wireshark 會跟蹤協(xié)議棧各級端點之間的特定會話，并允許您明確過濾這些會話。查看 “統(tǒng)計”->“對話 ”對話框，即可獲得當(dāng)前打開的跟蹤中的對話列表。

3、http or dns
側(cè)重于 HTTP 和 DNS 協(xié)議，便于調(diào)查網(wǎng)絡(luò)流量和域名解析。

4、tcp.port == xxx
通過特定端口號隔離 TCP 數(shù)據(jù)包，簡化通過指定端口的流量檢查。如果需要過濾多個端口，也可以提供一個過濾值列表：tcp.port in {80, 443}。這將過濾 80 或 443 端口上的所有流量。

5、tcp.seq == x
按 TCP 序列號過濾數(shù)據(jù)包，用于分析數(shù)據(jù)包順序。

6、tcp.flags.reset==1
顯示所有 TCP 重置，這對識別突然終止的連接至關(guān)重要。

7、tcp.flags.push==1
識別 TCP 推送事件，對排除數(shù)據(jù)流問題至關(guān)重要。

8、tcp 包含 "關(guān)鍵字
顯示包含指定術(shù)語的 TCP 數(shù)據(jù)包，幫助進(jìn)行特定內(nèi)容搜索。請注意，引號內(nèi)的字符串將被轉(zhuǎn)義。因此，搜索文件補(bǔ)丁可能會產(chǎn)生意想不到的結(jié)果。為避免這種情況，也可以強(qiáng)制搜索避免內(nèi)容轉(zhuǎn)義，例如： tcp contains r “C:foo”

9、tcp.stream eq X
跟蹤特定的 TCP 數(shù)據(jù)流，從而實現(xiàn)連續(xù)的數(shù)據(jù)包跟蹤。要查看特定跟蹤中所有可用流的概覽，可使用 Statistics->Conversations 對話框。

10、http.request
捕獲 HTTP GET 和 POST 請求，突出顯示網(wǎng)頁訪問模式。具體來說，它會捕獲存在 http.request 字段的所有數(shù)據(jù)包。如果只需過濾特定請求，可相應(yīng)指定：http.request.method in {POST,PUSH}

11、!(arp 或 icmp 或 dns)
排除指定協(xié)議，集中分析相關(guān)流量。

12、udp 包含 “xx:xx:xx” !
按十六進(jìn)制值過濾 UDP 數(shù)據(jù)包，用于精確定位特定數(shù)據(jù)段。

13、dns.flags.rcode != 0
識別有解析錯誤的 DNS 請求，對診斷域名問題至關(guān)重要。

14、tcp.payload[0:2] == bb:cc
過濾所有前兩個字節(jié)包含 bb:cc 的報文的有效載荷字段。這可以用在很多地方，例如，eth.addr[0:3] == 94:37:f7 將過濾所有來自具有華為供應(yīng)商 ID 的網(wǎng)卡的流量。

二、專業(yè)tips：
1.如何將常用篩選器添加為按鈕？
地址欄右側(cè)的小 + 允許創(chuàng)建所謂的 “過濾按鈕”。這些按鈕可用作常用顯示過濾表達(dá)式的快捷方式。

添加新按鈕時，可以將字段直接拖到 + 號上，也可以在應(yīng)用篩選器時點擊它。在后一種情況下，它會自動將當(dāng)前的篩選器添加到創(chuàng)建對話框中，只需為按鈕提供一個名稱即可。在名稱中添加兩個斜線 // 后，按鈕甚至可以組合在一起。
2. 如何拖放篩選器？
與其復(fù)制篩選器，不如直接將篩選器拖入搜索欄。

3、捕獲可操作的網(wǎng)絡(luò)數(shù)據(jù)
網(wǎng)絡(luò)數(shù)據(jù)包決定著故障排除過程的成敗。網(wǎng)絡(luò)數(shù)據(jù)包捕獲的主要優(yōu)勢之一是其提供的詳細(xì)程度。捕獲數(shù)據(jù)包內(nèi)的所有信息（包括源地址和目標(biāo)地址、協(xié)議信息和有效載荷數(shù)據(jù)）的能力可對網(wǎng)絡(luò)流量進(jìn)行更全面的分析，使其成為排除網(wǎng)絡(luò)故障的寶貴工具。
ProfiShark 或 IOTA 等數(shù)據(jù)包捕獲工具具有硬件時間戳和硬件捕獲過濾器等高級功能，可提供高保真捕獲文件以供分析。

Profishark
用于現(xiàn)場故障排除和工業(yè)網(wǎng)絡(luò)的高性能現(xiàn)場數(shù)據(jù)包捕獲。

高保真現(xiàn)場流量捕獲

硬件時間戳

非侵入式流量訪問

與 Wireshark 或任何 PCAP 分析儀結(jié)合使用

故障安全

IOTA

流量捕獲與分析，只需一個盒子。中小型企業(yè)和數(shù)據(jù)中心。

部署在邊緣和遠(yuǎn)程站點

集成分析儀表板

在線或帶外

1 TB 或 2 TB 捕獲存儲

捕獲性能 3.2 Gbps

審核編輯 黃宇