Wireshark的過(guò)濾器，顧名思義，作用是對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾處理。具體過(guò)濾器包括捕獲過(guò)濾器和顯示過(guò)濾器。本文對(duì)捕獲過(guò)濾器進(jìn)行分析。

捕獲過(guò)濾器：當(dāng)進(jìn)行數(shù)據(jù)包捕獲時(shí)，只有那些滿足給定的包含/排除表達(dá)式的數(shù)據(jù)包會(huì)被捕獲。

捕獲過(guò)濾器使用柏克萊封包過(guò)濾器（Berkeley Packet Filter，即BPF），是類(lèi)Unix系統(tǒng)上數(shù)據(jù)鏈路層的一種原始接口，提供原始鏈路層封包的收發(fā)。與其它使用Lipcap(Linux)或者Winpcap(Windows)開(kāi)發(fā)的軟件一樣，比如著名的TCPdump。

如果你的輸入語(yǔ)法正確，則背景顯示綠色，否則顯示紅色。

BPF理論詳細(xì)介紹，參考：

http://www.tcpdump.org/manpages/pcap-filter.7.html，

實(shí)例參考：

https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html

簡(jiǎn)單說(shuō)明

   1. 類(lèi)型Type: host、net、port

   2. 方向Dir: src、dst

   3. 協(xié)議Proto: ether、ip、tcp、udp、http、ftp

   4. 邏輯運(yùn)算符： &&與、||或、！非

  常用捕獲過(guò)濾器，可以通過(guò)“管理捕獲過(guò)濾器”，進(jìn)行管理。

 打開(kāi)過(guò)濾器的管理界面，左面部分為過(guò)濾器，右面為過(guò)濾器表達(dá)式。可以雙擊選中過(guò)濾器來(lái)編輯，并修改捕獲過(guò)濾表達(dá)式。同時(shí)可以對(duì)過(guò)濾器進(jìn)行刪減。

常用的捕獲器，通過(guò)管理器增加后，可以通過(guò)直接選取添加。