wireshark如何过滤TCP三次握手包等类似的无负载内容的包？

小敏纸 2014-06-27 09:30:51

用wireshark捕获数据包时，总会有一堆TCP三次握手包（ACK/SYN），比如下图：

由于我要分析数据包的负载数据内容，因此这些无真实数据内容的包对我来说是干扰包，因为太多了，导致程序分析起来很慢，请问能在wireshark里直接将这些包过滤过吗？3Q

据我所知，我只能根据协议进行过滤数据包，而这些ACK/SYN包怎么过滤呢？

...全文

2438 12 打赏收藏转发到动态举报

写回复

用AI写文章

12 条回复

切换为时间正序

请发表友善的回复…

发表回复

ForestDB 2014-07-31

打赏
举报

右键。。。。

ForestDB 2014-07-30

打赏
举报

包上点邮件，follow tcp stream，试试。

两只特立独行的猫 2014-07-29

打赏
举报

试试 not http and tcp.len>0

majia2011 2014-06-27

打赏
举报

乱是因为你的过滤方式不对，直接按ip和端口过滤下就行了。 syn包是不能过滤掉的，这是分析的关键点，呵呵呵

mujiok2003 2014-06-27

打赏
举报

syn的话，一个session中就那么几个，不会导致你的分析很慢。 ack的话，打开Nagle算法，可以减少单独ACK的数目。 stackoverflow上也有人在问： http://stackoverflow.com/questions/8859740/how-to-filter-out-tcp-fast-retransmission-in-wireshark

小敏纸 2014-06-27

打赏
举报

引用 8 楼 zilaishuichina 的回复:

[quote=引用 7 楼 lanxuezaipiao 的回复:] [quote=引用 3 楼 zilaishuichina 的回复:] tcp.flags.syn == 0 and tcp.flags.ack == 0

这个好像过滤不了哦，试过了[/quote] 实测有效童叟无欺，只不过普通包里面同样会有ACK lz的需求应该是希望把有内容的数据包过滤出来吧，没内容的包不要可以tcp.len > 0[/quote] 对，这个试了下管用，非常感谢

zilaishuichina 2014-06-27

打赏
举报

引用 7 楼 lanxuezaipiao 的回复:

[quote=引用 3 楼 zilaishuichina 的回复:] tcp.flags.syn == 0 and tcp.flags.ack == 0

这个好像过滤不了哦，试过了[/quote] 实测有效童叟无欺，只不过普通包里面同样会有ACK lz的需求应该是希望把有内容的数据包过滤出来吧，没内容的包不要可以tcp.len > 0

小敏纸 2014-06-27

打赏
举报

引用 3 楼 zilaishuichina 的回复:

tcp.flags.syn == 0 and tcp.flags.ack == 0

这个好像过滤不了哦，试过了

小敏纸 2014-06-27

打赏
举报

引用 1 楼 mujiok2003 的回复:

syn的话，一个session中就那么几个，不会导致你的分析很慢。 ack的话，打开Nagle算法，可以减少单独ACK的数目。 stackoverflow上也有人在问： http://stackoverflow.com/questions/8859740/how-to-filter-out-tcp-fast-retransmission-in-wireshark

非常感谢，对我帮助很大，另外wireshark好像不能打开或关闭nagle算法呀