Wireshark 的捕获过滤器

Wireshark 的过滤器，顾名思义，作用是对数据包进行过滤处理。具体过滤器包括捕获过滤器和显示过滤器。本文对捕获过滤器进行分析。

捕获过滤器：当进行数据包捕获时，只有那些满足给定的包含/排除表达式的数据包会被捕获。

捕获过滤器使用柏克莱封包过滤器（Berkeley Packet Filter，即 BPF），是类Unix系统上数据链路层的一种原始接口，提供原始链路层封包的收发。与其它使用 Lipcap(Linux)或者 Winpcap(Windows)开发的软件一样，比如著名的 TCPdump。

捕捉过滤器必须在开始捕捉前设置完毕，捕捉过滤器的编制语法如下：

如果你的输入语法正确，则背景显示绿色，否则显示红色。

BPF 理论详细介绍，参考：

http://www.tcpdump.org/manpages/pcap-filter.7.html，

实例参考：

https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html

简单说明

1. 类型 Type: host、net、port

2. 方向 Dir: src、dst

3. 协议 Proto: ether、ip、tcp、udp、http、ftp

4. 逻辑运算符：&&与、||或、！非

常用捕获过滤器，可以通过“管理捕获过滤器”，进行管理。

打开过滤器的管理界面，左面部分为过滤器，右面为过滤器表达式。可以双击选中过滤器来编辑，并修改捕获过滤表达式。同时可以对过滤器进行删减。

喜欢点赞收藏，如有疑问，点击链接加入群聊【信创技术交流群】：http://qm.qq.com/cgi-bin/qm/qr?_wv=1027&k=EjDhISXNgJlMMemn85viUFgIqzkDY3OC&authKey=2SKLwlmvTpbqlaQtJ%2FtFXJgHVgltewcfvbIpzdA7BMjIjt2YM1h71qlJoIuWxp7K&noverify=0&group_code=721096495