使用DeepSeek/ChatGPT等AI工具辅助编写wireshark过滤器

随着deepseek,chatgpt等大模型的能力越来越强大，本文将介绍借助deepseek，chatgpt等大模型工具，通过编写提示词，辅助生成全面的Wireshark显示过滤器的能力。

每一种协议的字段众多，流量分析的需求多种多样，想要根据具体的业务需求快速的过滤出指定的内容字段，则需要熟悉业务领域知识，网络协议的知识，以及Wireshark显示过滤器的知识。即使对于资深的流量分析人员来说，往往也存在考虑不周的情况。如今有了deepseek，chatgpt等大模型工具，则可以借助这些AI工具辅助加快编写Wireshark显示过滤器，从而快速的过滤出对应的业务内容，为需要借助LLM等大模型辅助分析流量数据包的同学提供参考。

在之前的文章，这里介绍了wireshark的过滤器的使用，如果想要系统的了解wireshark的显示过滤器，详见CSDN村中少年的专栏《Wireshark从入门到精通》的文章，这里。

如下将通过一些示例场景的介绍，说明deepseek，chatgpt等大模型工具如何辅助编写过滤条件。

过滤特定 IP 或端口

数据包分析中，通常需要过滤一个数据包中指定的IP和端口的数据包。例如，编写Wireshark显示过滤器过滤TCP三元组为192.168.1.2,192.168.1.3,445的流量，如下：

可以看到deepseek能够对于三元组的理解还是非常深入的，不仅给出了多种不同的组合，即源IP和目的IP以及端口的组合，还给出了解释和应用场景，能够提示我们可能忽略的场景。

后续更多的关于deepseek和流量分析以及网络安全的更多内容介绍，详见CSDN村中少年的专栏《DeepSeek/ChatGPT/AI辅助网络安全运营》，详见这里。

过滤网络扫描与爆破

数据包中，通常存在很多扫描爆破的流量，例如过滤数据包中的端口扫描的流量，提示词为 编写Wireshark过滤器过滤数据包中可疑的端口扫描和爆破活动的数据包，如下：

虽然存在一些错别字，deepseek还是精准的判断出了要求。deepseek给出的对于扫描和爆破的理解，不仅限于常见的TCP端口扫描和ssh爆破，还包括SMB等应用层的爆破，超越了绝大多数的安全工程师的知识，比较全面。

过滤特定字符串

字符串匹配往往要使用正则，Wireshark中的字符串匹配是如何使用的呢，如下为过滤指定域名的示例，提示词为 编写Wireshark显示过滤器过滤数据包，能够匹配CSDN博主村中少年域名xiaofan.blog.csdn.net， 如下：

多数人第一时间想到的可能是HTTP和DNS等字段的过滤，deepseek考虑的更加全面还给出了HTTPS的过滤出条件。这里有个隐藏的知识就是deepseek判断了CSDN博主村中少年域名xiaofan.blog.csdn.net为HTTP服务，所以涉及的协议为http,tls,dns这三种。如果是非HTTP服务，包含域名的协议还包括SMB，DHCP等协议。

过滤无意义数据包

通常抓取的数据包中，存在着大量对于分析无意义的数据包，例如重传的数据包，过滤这些数据包对于分析的意义重大，提示词为 编写Wireshark过滤器过滤数据包中无意义的数据包，例如重传，乱序等数据包 ，如下：

对于无意义数据包的理解，deepseek给出的比多数人理解的要全面，不仅包括TCP层面重传，乱序，重复确认，保活，窗口分析等对于业务分析帮助有限的数据包，还给出了扩展场景，可以基于扩展场景，继续询问deepseek给出过滤应用层协议对应业务数据包的过滤条件。

过滤流量中网络攻击

如果想要了解数据包中存在哪些攻击流量，可以使用提示词 给出Wireshark显示过滤器的10个最重要的和网络攻击有关的使用场景，用于学习教育之用，如下：

针对网络攻击的话题，deepseek可能会屏蔽过滤一些内容，因此需要强调用途。如果想要了解更多的网络攻击在流量层面的表现，可以要求deepseek给出更多的场景。当然针对每一种场景，可以继续询问deepseek进行细节的下钻。这块借助deepseek可以提升处理安全业务的效率。

过滤异常流量

有的时候流量的表现不一定有明显的攻击特征，可能只是一些异常的流量，过滤异常流量的提示词为 编写Wireshark显示过滤器过滤数据包，过滤出数据包中的异常流量，如下：

可以看到deepseek对于异常流量的解析是超过很多的流量分析以及网络安全专家的，非常全面。

上述就是借助deepseek，chatgpt等大模型工具，辅助生成Wireshark显示过滤器的介绍，希望对你有所帮助。

本文为CSDN村中少年原创文章，未经允许不得转载，博主链接这里。