干货：Wireshark使用技巧-显示规则

“介绍Wireshark对已有报文的显示进行控制的显示规则。”

之前对Wireshark抓包时使用的过滤规则进行了介绍，本文介绍对已有报文的显示进行控制的显示规则。掌握了显示规则，你使用Wireshark的动作都会炫起来。

01

—

显示规则使用

在Wireshark界面对已经抓取的报文在界面的显示进行控制的规则，称为显示规则，显示规则只是让一部分不符合规则的报文不被显示，但未被丢弃，这些报文仍然存在在Wireshark的系统内。

显示规则相对过滤规则要简单得多，在使用界面直接输入或者选择规则即可。

显示规则是对抓取后的报文再次进行刷选，显示规则基本不需要学习，因为Wireshark已经给了足够多的提示，只需简单的进行输入和使用鼠标即可。

显示规则也有部分默认规则，与过滤规则相同。

这些规则远远无法满足分析协议的需要，我们需要的是在输入框内输入显示规则，进行显示过滤。

在显示规则输入框内进行输入，wireshark会进行提示，使用户能够选择相应的规则名称进行条件的设置，如果输入错误或者不完整，则输入框内会显示红色，当完整了，则显示绿色。

在一个大项属性下，如果需要进行步进行规则的细化，使用“.”即可继续提示规则。

这简化了显示规则的大量操作。

虽然显示规则很简单，但了解一些例子，更有助于使用，下一节将举例介绍。

显示规则的使用，依赖于Wireshark已经将对报文所属协议识别和解析的程度，如果无法满足分析需要，则应使用更进阶的方法进行过滤，下一节也将举例介绍。

02

—

显示规则例子

本节使用一些例子，来说明显示规则的用法。

1、仅显示源端口为443的TCP报文

tcp.srcport == 443

其中的==可使用eq来代替。在客户端侧，这抓取的是SSL协议的所有上行报文。如果上下行报文都需要，则将srcport改为port即可，相应地，还有dstport可以使用。

使用or进行规则的连结，表示满足一个条件即可。

与过滤规则相同，同样支持and以及not连结符，同样，也支持()进行优先级的设定。

3、显示包含“baidu”字符串的ssl报文

ssl contains "baidu"

使用contains 可进行字符串的过滤，contains对字符串的过滤很有效，但前提是位置属性要选择正确 。

4、显示所有数据体前两个字节为1a1c的报文

data.data[0:2]==1a:1c

这条规则，则是一种进阶使用方法，深入到报文的二进制层内，对所有的Wireshark初步解析后带data的内容的数据前两个字节的值进行过滤。0:2表示从0位置开始的2个字节长度的数据，当然，可以以任意需要的位置开始，任意长度的数据。

显示规则能够大大提高协议分析的效率，如果在使用上有不懂的地方，可以关注我进行咨询，免费的噢。

长按进行关注。