用Wireshark或OmniPeek抓了几分钟WiFi包,动辄几万甚至几十万个数据包,密密麻麻的列表让人无从下手。如果不加过滤,想找到有用的信息如同大海捞针。其实,只要掌握几个核心的过滤技巧,就能快速从海量数据中精准定位目标。
区分捕获过滤和显示过滤
WiFi抓包工具有两种过滤方式:捕获过滤(在开始抓包前设置)和显示过滤(抓包后筛选)。捕获过滤可以减少磁盘占用,适合明确知道只关心某类流量时使用;显示过滤更灵活,可以随时调整。对大多数排查场景,推荐先用捕获过滤缩小范围,再用显示过滤精确查找。
常用捕获过滤语法(BPF格式)
在Wireshark的“Capture Filter”栏或使用tcpdump命令时,采用BPF语法。例如:
1、只抓与特定IP通信的包:host 192.168.1.100
2、只抓特定MAC地址的WiFi数据帧:ether host 11:22:33:44:55:66
3、只抓特定协议:arp 或 icmp
4、只抓特定信道(需驱动支持):wlan freq 2412
组合使用:host 192.168.1.100 and tcp port 80(抓该IP的HTTP流量)
必掌握的显示过滤器
捕获完成后的筛选更常用。以下是WiFi抓包时最高频的显示过滤条件:
1、按IP地址过滤:ip.src == 192.168.1.100(只看从这个IP发出的包);ip.dst == 8.8.8.8(只看发往这个IP的包);ip.addr == 192.168.1.100(双向)。
2、按MAC地址过滤:wlan.sa == 11:22:33:44:55:66(源MAC);wlan.da == aa:bb:cc:dd:ee:ff(目的MAC);wlan.addr == 11:22:33:44:55:66(包含源、目的或BSSID)。
3、按协议过滤:tcp、udp、http、dns、arp。WiFi管理帧:wlan.fc.type==0(管理帧),其中wlan.fc.subtype == 8(Beacon帧)。
4、按端口过滤:tcp.port == 443(HTTPS流量);udp.port==53(DNS查询)。
5、组合与排除:tcp and not dns(TCP包但不含DNS);ip.src==192.168.1.100 && tcp.port==80。
针对WiFi抓包的特色过滤
如果你想分析连接过程,可以过滤关联请求和响应:wlan.fc.type_subtype == 0(关联请求)或wlan.fc.type_subtype==1(关联响应)。要查看重传包:wlan.retry==1。要查看信号强度较弱的包(需驱动支持):radiotap.dbm_antsignal < -70。
实战案例:抓取某台手机上网慢的问题
先捕获过滤:host 192.168.1.50(手机IP)。抓包完成后发现仍有几千个包。再应用显示过滤:tcp.analysis.retransmission(只看TCP重传包)。如果大量出现重传,说明无线链路质量差。接着查看哪些目的IP导致重传:ip.dst统计。也可以过滤特定时间范围:frame.time >= "2025-03-15 14:30:00" && frame.time <= "2025-03-15 14:35:00"。
保存常用过滤表达式
Wireshark支持将复杂的过滤语句保存为快捷按钮。点击“Analyze”->“Display Filter Buttons”,添加常用过滤如tcp.analysis.flags(所有TCP异常标志),下次一键应用。
WiFi抓包数据太多时,牢记“先捕获过滤减少量,再显示过滤精确定位”。掌握IP、MAC、协议、端口以及WiFi特有字段的过滤语法,几分钟内就能从数万包中揪出问题源头。熟练后,你还可以组合复杂的逻辑表达式,让过滤能力再上一个台阶。
微信公众号