隨著deepseek,chatgpt等大模型的能力越來越強大，本文將介紹借助deepseek，chatgpt等大模型工具，通過編寫提示詞，輔助生成全面的Wireshark顯示過濾器的能力。

每一種協議的字段眾多，流量分析的需求多種多樣，想要根據具體的業務需求快速的過濾出指定的內容字段，則需要熟悉業務領域知識，網絡協議的知識，以及Wireshark顯示過濾器的知識。即使對于資深的流量分析人員來說，往往也存在考慮不周的情況。如今有了deepseek，chatgpt等大模型工具，則可以借助這些AI工具輔助加快編寫Wireshark顯示過濾器，從而快速的過濾出對應的業務內容，為需要借助LLM等大模型輔助分析流量數據包的同學提供參考。

在之前的文章，這里介紹了wireshark的過濾器的使用，如果想要系統的了解wireshark的顯示過濾器，詳見CSDN村中少年的專欄《Wireshark從入門到精通》的文章，這里。

如下將通過一些示例場景的介紹，說明deepseek，chatgpt等大模型工具如何輔助編寫過濾條件。

過濾特定 IP 或端口

數據包分析中，通常需要過濾一個數據包中指定的IP和端口的數據包。例如，編寫Wireshark顯示過濾器過濾TCP三元組為192.168.1.2,192.168.1.3,445的流量，如下：

可以看到deepseek能夠對于三元組的理解還是非常深入的，不僅給出了多種不同的組合，即源IP和目的IP以及端口的組合，還給出了解釋和應用場景，能夠提示我們可能忽略的場景。

后續更多的關于deepseek和流量分析以及網絡安全的更多內容介紹，詳見CSDN村中少年的專欄《DeepSeek/ChatGPT/AI輔助網絡安全運營》，詳見這里。

過濾網絡掃描與爆破

數據包中，通常存在很多掃描爆破的流量，例如過濾數據包中的端口掃描的流量，提示詞為 編寫Wireshark過濾器過濾數據包中可疑的端口掃描和爆破活動的數據包，如下：

雖然存在一些錯別字，deepseek還是精準的判斷出了要求。deepseek給出的對于掃描和爆破的理解，不僅限于常見的TCP端口掃描和ssh爆破，還包括SMB等應用層的爆破，超越了絕大多數的安全工程師的知識，比較全面。

過濾特定字符串

字符串匹配往往要使用正則，Wireshark中的字符串匹配是如何使用的呢，如下為過濾指定域名的示例，提示詞為 編寫Wireshark顯示過濾器過濾數據包，能夠匹配CSDN博主村中少年域名xiaofan.blog.csdn.net， 如下：

多數人第一時間想到的可能是HTTP和DNS等字段的過濾，deepseek考慮的更加全面還給出了HTTPS的過濾出條件。這里有個隱藏的知識就是deepseek判斷了CSDN博主村中少年域名xiaofan.blog.csdn.net為HTTP服務，所以涉及的協議為http,tls,dns這三種。如果是非HTTP服務，包含域名的協議還包括SMB，DHCP等協議。

過濾無意義數據包

通常抓取的數據包中，存在著大量對于分析無意義的數據包，例如重傳的數據包，過濾這些數據包對于分析的意義重大，提示詞為 編寫Wireshark過濾器過濾數據包中無意義的數據包，例如重傳，亂序等數據包 ，如下：

對于無意義數據包的理解，deepseek給出的比多數人理解的要全面，不僅包括TCP層面重傳，亂序，重復確認，保活，窗口分析等對于業務分析幫助有限的數據包，還給出了擴展場景，可以基于擴展場景，繼續詢問deepseek給出過濾應用層協議對應業務數據包的過濾條件。

過濾流量中網絡攻擊

如果想要了解數據包中存在哪些攻擊流量，可以使用提示詞 給出Wireshark顯示過濾器的10個最重要的和網絡攻擊有關的使用場景，用于學習教育之用，如下：

針對網絡攻擊的話題，deepseek可能會屏蔽過濾一些內容，因此需要強調用途。如果想要了解更多的網絡攻擊在流量層面的表現，可以要求deepseek給出更多的場景。當然針對每一種場景，可以繼續詢問deepseek進行細節的下鉆。這塊借助deepseek可以提升處理安全業務的效率。

過濾異常流量

有的時候流量的表現不一定有明顯的攻擊特征，可能只是一些異常的流量，過濾異常流量的提示詞為 編寫Wireshark顯示過濾器過濾數據包，過濾出數據包中的異常流量，如下：

可以看到deepseek對于異常流量的解析是超過很多的流量分析以及網絡安全專家的，非常全面。

上述就是借助deepseek，chatgpt等大模型工具，輔助生成Wireshark顯示過濾器的介紹，希望對你有所幫助。

本文為CSDN村中少年原創文章，未經允許不得轉載，博主鏈接這里。