Wireshark 过滤语法实战与 PingInfoView 批量网络监控，附工具集

1. Wireshark过滤语法实战指南

第一次打开Wireshark时，满屏跳动的数据包可能会让你不知所措。作为运维工程师，我经常需要从海量网络数据中快速定位问题。掌握过滤语法就像拥有了一个精准的筛子，能帮你快速过滤掉无关信息。下面这些实战技巧都是我多年排查网络问题时总结出来的精华。

1.1 基础过滤：IP与MAC地址

IP地址过滤是最常用的功能。比如要监控192.168.1.114这个IP的所有通信，直接输入：

ip.addr==192.168.1.114

这个命令会显示所有源或目的IP是该地址的数据包。我经常用它来排查特定设备的网络问题。

如果需要更精确的定位，可以分开指定源和目的：

ip.src==192.168.1.114 # 只看发出的包 ip.dst==192.168.1.114 # 只看收到的包

MAC地址过滤在排查ARP欺骗或交换机问题时特别有用：

eth.addr==31:rf:e7:c7:41:c4 # 双向流量 eth.src==31:rf:e7:c7:41:c4 # 只看出站 eth.dst==31:rf:e7:c7:41:c4 # 只看入站

1.2 端口与协议过滤

排查Web服务问题时，我通常会先过滤80和443端口：

tcp.port==80 # 包含源和目的端口 tcp.dstport==80 # 只看目标端口 tcp.srcport==80 # 只看源端口

UDP协议过滤也类似：

udp.port==4010 udp.srcport==4010 udp.dstport==4010

1.3 高级逻辑组合

Wireshark支持逻辑运算符组合复杂条件。比如要监控从192.168.1.114发往特定服务器的流量：

(ip.src==192.168.1.114)&&(ip.dst==180.114.144.101)

排查多个可疑IP时可以用逻辑或：

(ip.src==192.168.1.114)||(ip.src==182.254.110.91)

排除特定IP的干扰：

!(ip.addr==192.168.1.114)

2. 协议深度过滤技巧

2.1 HTTP协议过滤

排查Web问题时，这些HTTP过滤命令特别实用：

http.request.method=="GET" http.request.method=="POST" http.request.uri=="/img/logo.gif"

查找包含特定内容的请求：

http contains "User-Agent:" http.request.method=="GET"&&http contains "Host:"

2.2 TCP标志位过滤

分析TCP连接问题时，标志位过滤非常有用：

tcp.flags.syn==0x02 # 只显示SYN包 tcp.flags.reset==1 # 查找RST包 tcp.window_size==0&&tcp.flags.reset!=1 # 零窗口但不是RST

2.3 数据包内容过滤

有时需要直接查看数据包内容：

tcp[20:8] # 从TCP头部第20字节开始取8字节 udp[8:3]==20:21:22 # 检查UDP数据前三个字节

3. PingInfoView批量网络监控

3.1 基础使用指南

PingInfoView是我用过最方便的批量ping工具。它可以同时监控数十个IP的连通性，并以颜色直观显示状态。绿色表示正常，红色表示超时，黄色表示高延迟。

首次使用时，只需在"File"菜单选择"Add IP Addresses"，输入要监控的IP列表即可。建议设置合理的ping间隔，默认1秒对于长期监控可能太频繁，我通常设为5-10秒。

3.2 高级功能配置

在"Options"菜单中可以调整关键参数：

• Ping超时时间：默认2000ms，内网可以设为500ms
• Ping间隔：根据需求调整
• 解析主机名：勾选后可以显示设备名称而非仅IP
• 声音警报：网络中断时发出提示音

我最喜欢的功能是"Save Items"，可以将监控结果导出为HTML、文本或CSV格式，方便生成报告。

3.3 典型应用场景

1. 机房巡检：同时监控所有关键网络设备的连通性
2. 故障排查：当用户报告网络问题时，快速定位故障范围
3. 网络改造验证：在进行网络调整后，确认所有设备连通性正常
4. 服务质量监控：长期记录网络延迟，分析网络质量趋势

4. 工具组合实战案例

4.1 间歇性网络故障排查

上周我就遇到一个典型问题：用户反映访问内网系统时断时续。我的排查步骤是：

1. 先用PingInfoView添加所有关键网络节点（网关、DNS、目标服务器）
2. 观察到每隔15分钟左右，到核心交换机的ping会出现2000ms以上的延迟
3. 在延迟出现时，立即用Wireshark抓包，过滤：

(ip.addr==核心交换机IP)&&(icmp||tcp.port==目标服务端口)

4. 发现大量ARP请求包，最终定位到一台故障的IP电话在不断发送异常ARP包

4.2 网络性能分析

另一个案例是文件传输速度慢的问题：

1. 用PingInfoView长期监控，发现网络延迟正常但偶尔有丢包
2. 在传输文件时用Wireshark抓包，过滤：

tcp.port==文件服务端口&&tcp.analysis.retransmission

3. 发现大量TCP重传，进一步分析发现是交换机端口双工模式不匹配

5. 实用工具集推荐

除了Wireshark和PingInfoView，这些工具也值得收藏：

• TCPView：查看所有TCP/UDP连接状态
• NetScanTools：集成多种网络诊断工具
• PRTG Network Monitor：企业级网络监控方案
• Fiddler：HTTP/HTTPS协议分析
• iperf：网络带宽测试工具

在实际工作中，我通常会根据问题类型选择合适的工具组合。对于复杂的网络问题，往往需要多个工具协同分析才能准确定位。