概述
Wireshark中过滤器有2种:捕获过滤器和显示过滤器。
捕获过滤器:抓包时的过滤器,如实际场景中可能需要只捕获9000端口上的数据,可以使用port 9000来过滤,其它端口的数据不会被捕获到。捕获过滤器应用于libpcap/WinPcap,并使用BPF(Berkeley Packet Filter)语法。
显示过滤器:已经抓好包,只想显示特定的包或不让显示特定的包,如ip.addr == 192.168.0.130用来告诉wireshark只显示地址(源或目的地)为192.168.0.130的数据包。
捕获过滤器
捕获过滤器需要在捕获前设置好,背景为绿色说明过滤器无问题,背景为红色则说明过滤器有问题。
过滤器左边的书签图标可以用来管理已有过滤器、添加过滤器等。
捕获过滤器语法使用BPF语法创建的过滤器被称为表达式(expression),每个表达式包含一个或多个原语(primitives),每个原语包含一个或多个限定词(qulifiers),然后跟着一个ID名字或者数字。
可以使用&&(and)、||(or)、!(not)来对原语进行组合,下面是一些示例
主机名和地址过滤
