在排查网络设备通信异常、调试路由器固件或分析智能网关数据流时,Wireshark 或 tcpdump 抓到的包动辄上万条——DNS 查询、ARP 广播、IPv6 邻居发现、系统自动心跳包……真正关心的 HTTP 请求或 Modbus TCP 报文,常常被淹没在噪音里。
先盯住目标设备的 IP 和端口
比如你正调试一台海康 IPC 摄像头,它 IP 是 192.168.3.105,使用 8000 端口传 RTSP 流。抓包后直接输过滤表达式:
ip.addr == 192.168.3.105 && tcp.port == 8000绕开广播和组播干扰
局域网里广播包特别多,尤其是老旧交换机或带网管功能的工业路由器,常发 LLDP、CDP、STP BPDU 包。这些对硬件调试毫无帮助,反而拖慢分析节奏。加一条排除规则就行:
!broadcast && !multicasteth.type == 0x0800按协议类型快速聚焦
做串口转以太网模块测试时,重点看 Modbus TCP,那就过滤:
tcp.port == 502udp.port >= 50000 && udp.port <= 50100用显示过滤器临时屏蔽已知噪音源
公司内网总有一台 Windows 主机在疯狂发 SMB 流量,IP 是 192.168.3.200,每次抓包都刷屏。右键任意一条它的包 → “Apply as Filter” → “Exclude”,Wireshark 就自动生成:
!ip.addr == 192.168.3.200硬件现场的小技巧
在机房用笔记本直连某台工控 PLC 调试,但笔记本自己还在后台更新微信、自动同步 OneDrive。这时候别光靠软件过滤——物理上断开 Wi-Fi,拔掉以太网中其他设备,只留笔记本和目标设备点对点连接。再开抓包,连 DNS 都没了,干干净净全是你要的 TCP SYN / ACK 重传细节。
过滤不是为了删数据,而是让真实通信路径浮出来。就像拧亮手电筒照进配电箱,不是把其他线路剪掉,是让那根该查的线,一眼就能看清接头有没有松动。