如何设置 wireshark 过滤器

如何设置 wireshark 过滤器

wireshark 是最常用的抓包软件，本文介绍如何使用 wireshark 的捕获过滤器和显示过滤器来设置想抓到的包

wireshark 的过滤器有两种，第一种是捕获过滤器，开启后只会抓取符合过滤规则的包，可以在进入软件后的主页面直接设置，也可以选择工具栏上的“捕获”-“选项”进行设置。

第二种则是显示过滤器，在捕获界面，在捕获过程中或结束后都可在界面上方设置显示过滤器。

显示过滤器和捕获过滤器的语法都是类似的，下面以捕获过滤器进行详细介绍。

首先，可以输入 "port" 来限定要捕获的包的端口，如图，"port 80" 表示要捕获所有使用 80 端口的数据包。

此外，可以在 "port" 前加上 "src" "dst" 来指定是源端口或目的端口，也可直接使用 "src" "dst" 来限定源地址或目的地址，如图，"dst 192.168.1.1" 表示要捕获所有发送到 192.168.1.1 的包。

也可直接使用 TCP/IP 协议栈的协议名称，来捕获指定协议的数据包，如 "tcp" 会捕获所有使用 TCP 协议的数据包。

此外，还可以使用括号、"and"、"or" "not" 等来组成复杂的表达式，如 "dst 192.168.1.1 and ((not tcp port 80) or udp port 2333)" 表示要捕获目的地址为 192.168.1.1 的，并且使用端口不是 80 的 TCP 数据包，或者目的地址为 192.168.1.1 的，并且使用 2333 端口的 UDP 数据包

wireshark 还提供了很多预定义的捕获规则，可在工具栏“捕获”-“捕获过滤器”中查看，也可自己添加。