Wireshark显示过滤器排除TLS握手与ACK流量
Wireshark 显示过滤器:排除 TLS 握手与 ACK 流量
过滤器表达式
ip.dst == 103.102.202.78 || ip.dst == 103.107.217.68 || ip.dst == 103.102.202.85
&& !(_ws.col.info matches "^Client Hello")
&& !(_ws.col.info matches "^Server Hello")
&& !(_ws.col.info matches "^Certificate")
&& !(_ws.col.info matches "ACK")
&& !(_ws.col.protocol == "DNS")说明
目标 IP 过滤
筛选目标 IP 为以下三个地址之一的流量:
103.102.202.78103.107.217.68103.102.202.85
排除条件(同时满足)
- 排除 TLS Client Hello:
_ws.col.info不以Client Hello开头 - 排除 TLS Server Hello:
_ws.col.info不以Server Hello开头 - 排除 TLS Certificate:
_ws.col.info不以Certificate开头 - 排除 ACK 包:
_ws.col.info包含ACK的包 - 排除 DNS 协议:
_ws.col.protocol为 DNS 的包
使用场景
该过滤器适用于排除 TLS 握手阶段和纯确认包后的流量分析,仅保留已建立加密连接后的应用层数据传输(不含 DNS 查询/响应),便于观察业务数据交互。
start /d "D:\ProgramFiles\Wireshark" /min /b Wireshark.exe