Wireshark的捕获过滤器

Wireshark的过滤器，顾名思义，作用是对数据包进行过滤处理。具体过滤器包括捕获过滤器和显示过滤器。本文对捕获过滤器进行分析。

捕获过滤器：当进行数据包捕获时，只有那些满足给定的包含/排除表达式的数据包会被捕获。

捕获过滤器使用柏克莱封包过滤器（Berkeley Packet Filter，即BPF），是类Unix系统上数据链路层的一种原始接口，提供原始链路层封包的收发。与其它使用Lipcap(Linux)或者Winpcap(Windows)开发的软件一样，比如著名的TCPdump。

捕捉过滤器必须在开始捕捉前设置完毕，捕捉过滤器的编制语法如下：

 

 

 

如果你的输入语法正确，则背景显示绿色，否则显示红色。

BPF理论详细介绍，参考：

http://www.tcpdump.org/manpages/pcap-filter.7.html，

实例参考：

https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html

简单说明

1. 类型Type: host、net、port
2. 方向Dir: src、dst
3. 协议Proto: ether、ip、tcp、udp、http、ftp
4. 逻辑运算符： &&与、||或、！非

常用捕获过滤器，可以通过“管理捕获过滤器”，进行管理。

 

 

 

打开过滤器的管理界面，左面部分为过滤器，右面为过滤器表达式。可以双击选中过滤器来编辑，并修改捕获过滤表达式。同时可以对过滤器进行删减。

 

常用的捕获器，通过管理器增加后，可以通过直接选取添加。