00:00:00
Wireshark使用大全
过滤 DNS 包
基础过滤:只显示所有 DNS 协议的包
- 输入框中输入
dns即可
- 输入框中输入
按 DNS 操作类型过滤:
只显示 DNS 查询包(客户端向服务器发起的请求)
- 输入框中输入
dns.flags.response == 0即可
- 输入框中输入
只显示 DNS 响应包(服务器返回给客户端的结果)
- 输入框中输入
dns.flags.response == 1即可
- 输入框中输入
按域名(查询或响应的域名)过滤
- 只显示包含特定域名的 DNS 包(例如
example.com)- 输入框中输入
dns.qry.name contains "example.com"即可
- 输入框中输入
- 只显示包含特定域名的 DNS 包(例如
dns.qry.name 表示查询的域名(适用于查询包) 如果要匹配响应包中的域名,可结合响应包过滤
- 只显示包含特定 IP 地址的 DNS 响应包(例如
192.168.1.10)- 输入框中输入
dns.flags.response == 1 and dns.a == 192.168.1.10即可
- 输入框中输入
按 DNS 记录类型过滤
只显示 A 记录(IPv4 地址)
- 输入框中输入
dns.qry.type == 1即可
- 输入框中输入
只显示 AAAA 记录(IPv6 地址)
- 输入框中输入
dns.qry.type == 28即可
- 输入框中输入
只显示 CNAME 记录(别名)
- 输入框中输入
dns.qry.type == 5即可
- 输入框中输入
只显示 MX 记录(邮件服务器)
- 输入框中输入
dns.qry.type == 15即可
- 输入框中输入
只显示 NS 记录(域名服务器)
- 输入框中输入
dns.qry.type == 2即可
- 输入框中输入
只显示 TXT 记录(文本信息)
- 输入框中输入
dns.qry.type == 16即可
- 输入框中输入
按端口过滤(DNS 通常使用 53 端口),虽然 dns 过滤已涵盖端口,但也可以直接按端口过滤:
- 只显示使用 53 端口的 DNS 包
- 输入框中输入
udp.port == 53即可
- 输入框中输入
- 只显示使用 53 端口的 DNS 包
组合过滤示例
只显示 google.com 的 DNS 查询包
- 输入框中输入
dns.qry.name contains "google.com" and dns.flags.response == 0即可
- 输入框中输入
显示所有 DNS 响应中的 A 记录(IPv4 结果):
- 输入框中输入
dns.flags.response == 1 and dns.qry.type == 1即可
- 输入框中输入