Wireshark里几招实用的网络协议分析过滤技巧（详细解析）

家里宽带偶尔卡顿，网页打不开，游戏掉线，光看路由器指示灯可看不出啥名堂。这时候打开Wireshark抓个包，再配上几条过滤规则，比瞎猜强多了。

先从最常用的开始

抓包一开，默认全是乱七八糟的数据，HTTP、DNS、ARP、ICMP混在一起，根本没法看。按IP过滤最直观：

ip.addr == 192.168.1.105

这句就能把本机（假设是192.168.1.105）收发的所有流量单独拎出来。

想专门看网页请求？直接写：

http.request || http.response

连带状态码、URL、User-Agent全在里头，不用点开每个包翻Headers。

查DNS问题就靠它

浏览器打不开网站，但ping得通？八成是DNS解析出岔子了。过滤DNS报文：

dns && ip.addr == 192.168.1.1

（假设你家DNS服务器是192.168.1.1）。看到超时没响应，或者返回NXDOMAIN，基本就能断定是DNS服务或配置的问题。

游戏卡顿？盯住UDP和端口

玩《原神》或《CS2》时延迟忽高忽低，重点看UDP丢包和特定端口：

udp.port == 22102 || udp.port == 27015

（分别对应原神和CS2常用端口）。再配合 tcp.analysis.retransmission 过滤重传包，如果UDP没重传但延迟抖动大，大概率是上行带宽被占满或者路由器QoS没设好。

快速定位异常流量

某天发现宽带跑满，后台却没下东西？试试这个组合：

ip.len > 1400 && !http && !dns && !icmp

找出那些又大又不是常规协议的包——可能是P2P软件偷偷上传，也可能是设备中招在发心跳或扫描包。

小提醒：过滤语法大小写敏感，== 是等于，=~ 才支持正则；用 && 不是 and，用 || 不是 or。输错一个符号，结果就全歪了。

这些技巧不用背，记两三个常用组合，遇到问题随手敲一下，比反复重启路由器管用。