Wireshark的過濾器，顧名思義，作用是對數(shù)據(jù)包進(jìn)行過濾處理。具體過濾器包括捕獲過濾器和顯示過濾器。本文對捕獲過濾器進(jìn)行分析。

捕獲過濾器：當(dāng)進(jìn)行數(shù)據(jù)包捕獲時，只有那些滿足給定的包含/排除表達(dá)式的數(shù)據(jù)包會被捕獲。

捕獲過濾器使用柏克萊封包過濾器（Berkeley Packet Filter，即BPF），是類Unix系統(tǒng)上數(shù)據(jù)鏈路層的一種原始接口，提供原始鏈路層封包的收發(fā)。與其它使用Lipcap(Linux)或者Winpcap(Windows)開發(fā)的軟件一樣，比如著名的TCPdump。

捕捉過濾器必須在開始捕捉前設(shè)置完畢，捕捉過濾器的編制語法如下：

如果你的輸入語法正確，則背景顯示綠色，否則顯示紅色。

BPF理論詳細(xì)介紹，參考：

http://www.tcpdump.org/manpages/pcap-filter.7.html，

實例參考：

https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html

簡單說明

   1.類型Type: host、net、port

   2.方向Dir: src、dst

   3.協(xié)議Proto: ether、ip、tcp、udp、http、ftp

   4.邏輯運算符： &&與、||或、！非

常用捕獲過濾器，可以通過“管理捕獲過濾器”，進(jìn)行管理。

打開過濾器的管理界面，左面部分為過濾器，右面為過濾器表達(dá)式。可以雙擊選中過濾器來編輯，并修改捕獲過濾表達(dá)式。同時可以對過濾器進(jìn)行刪減。

常用的捕獲器，通過管理器增加后，可以通過直接選取添加。