Wireshark 常用过滤规则
下载 Wireshark 抓包工具
1. DNS & 泄露
标准 53 端口流量
基础
捕获所有常规 DNS 请求。
udp.port == 53 || tcp.port == 53
特定域名/泄露识别
最常用
检查是否向国内服务器查询了敏感域名。
dns.qry.name contains "google" || dns.qry.name contains "github"
DoH/DoT 加密流量
加密 DNS
识别发往主流加密 DNS 服务的流量。
tls && (ip.addr == 8.8.8.8 || ip.addr == 1.1.1.1 || tcp.port == 853)
2. TLS / SNI / Reality
SNI 域名嗅探
核心规则
查看 HTTPS 握手中的真实目标地址。
tls.handshake.extensions_server_name
ECH 加密检测
进阶
判断 SNI 是否被 ECH (0xfe0d) 强制隐藏。
tls.handshake.extension.type == 0xfe0d
Reality 协议探测
协议识别
识别 TLS 1.3 且不含 SNI 的异常流量(常见于 Reality 偷跑)。
tls.handshake.type == 1 && !tls.handshake.extensions_server_name
3. 隧道协议 & gRPC
QUIC (HTTP/3)
UDP 隧道
Hysteria2 / TUIC 等协议底层过滤。
quic
gRPC / HTTP2 帧分析
现代代理
筛选包含 DATA 帧的 HTTP/2 流量(常见于 gRPC 节点)。
http2.type == 0
WebSocket 握手
Web 代理
筛选通过 101 Switching Protocols 建立的连接。
http.upgrade == "websocket"
4. 故障排查 & MTU
TCP RST 重置记录
墙拦截
查找被防火墙强制断开的连接。
tcp.flags.reset == 1
ICMP 需要分片
MTU 问题
排查由于分片导致的网页加载缓慢或打不开。
icmp.type == 3 && icmp.code == 4
TCP 重传分析
优选 IP 评估
通过重传率判断优选 IP 链路的真实质量。
tcp.analysis.retransmission