wireshark1.2.3四层过滤规则

之前分享完基础的二层、三层过滤语法，本次继续TCP过滤语法，涉及TCP的故障和问题会比较复杂，后面会专门针对不同类型的故障来详细分享，本次仅介绍常见的语法。

1. tcp.port/udp.port(如同mac地址或ip地址，tcp和udp基于端口进行传输，因为port类似于ip.addr)，常用语法：

1.1 tcp.port/tcp.destport/tcp.srcport(tcp端口、目的端口、源端口，类似于ip.addr,ip.dst,ip.src)

udp.port/udp.destport/udp/srcport

TCP端口过滤

UDP端口过滤

1.2 端口范围：tcp.port> xxx && tcp.port<yyyy，等同于之前的portrang

2. TCP FLAG位tcp.flag.xxx，wireshark通过tcp.flag来快速定位相关flag位的信息，并可以通过I/O来显示。在看用法之前，先了解一下TCP的报头：

TCP报头

在OffSet的第13字节有1个字节的flag位，分别是：URG（紧急指针）、ACK（确认）、PSH（紧急推送）、RST（置位）、SYN（序列号）、FIN（结束）。例如通过tcp.flag.fin查看tcp连接拆除的报文：

查看特定TCP flag位

3. TCP Analysis,分析常见的TCP故障。

查看TCP 故障

可以快速的定位常见的tcp错误，例如重复ack确认、tcp重传、零窗口等故障，例如：

过滤TCP 重传

4. Follow Steam，追踪tcp流。在抓取的数据包中，如果存在多条TCP会话，会通过tcp.steam eq xx来定位。如果要关注某条对话相应的tcp会话，也可以通过右键-Follow-TCP Steam来快速定位，如下图

查看TCP 流

5. TCP Steam Graphs（选择一条tcp-statistics-TCP Steam Graphs），可以查看tcp的相关信息，如下图：

查看TCP传输信息

绿线表示上传，即52.114.128.10->10.2.34.216，棕色下载。也可以选择①②④等关注的数值。

6. I/O graphs 来展示TCP关注数据（statistics-I/O Graphs），例如：通过自定义tcp总流量、ack丢失、和重传的过滤来展示：

展示TCP相关信息

TCP的基本过滤规则就介绍到这里，后续会基于实际的TCP故障及协议深入分析。