干货：Wireshark使用技巧-显示规则

—

显示规则使用

在Wireshark界面对已经抓取的报文在界面的显示进行控制的规则，称为显示规则，显示规则只是让一部分不符合规则的报文不被显示，但未被丢弃，这些报文仍然存在在Wireshark的系统内。

显示规则相对过滤规则要简单得多，在使用界面直接输入或者选择规则即可。

显示规则是对抓取后的报文再次进行刷选，显示规则基本不需要学习，因为Wireshark已经给了足够多的提示，只需简单的进行输入和使用鼠标即可。

显示规则也有部分默认规则，与过滤规则相同。

这些规则远远无法满足分析协议的需要，我们需要的是在输入框内输入显示规则，进行显示过滤。

在显示规则输入框内进行输入，wireshark会进行提示，使用户能够

—

显示规则例子

本节使用一些例子，来说明显示规则的用法。

1、仅显示源端口为443的TCP报文

tcp.srcport == 443

其中的==可使用eq来代替。在客户端侧，这抓取的是SSL协议的所有上行报文。如果上下行报文都需要，则将srcport改为port即可，相应地，还有dstport可以使用。

2、显示ssl报文和域名为www.baidu.com的http报文

ssl or http.host eq www.baidu.com

使用or进行规则的连结，表示满足一个条件即可。

与过滤规则相同，同样支持and以及not连结符，同样，也支持()进行优先级的设定。

3、显示包含“baidu”字符串的ssl报文

ssl contains "baidu"

使用contains 可进行字符串的过滤，contains对字符串的过滤很有效，但前提是位置属性要选择正确 。

4、显示所有数据体前两个字节为1a1c的报文

data.data[0:2]==1a:1c

这条规则，则是一种进阶使用方法，深入到报文的二进制层内，对所有的Wireshark初步解析后带data的内容的数据前两个字节的值进行过滤。0:2表示从0位置开始的2个字节长度的数据，当然，可以以任意需要的位置开始，任意长度的数据。

显示规则能够大大提高协议分析的效率，如果在使用上有不懂的地方，可以关注我进行咨询，免费的噢。

长按进行关注。