如何设置 wireshark 过滤器

Wireshark 是 popular 的抓包工具，本文讲解如何利用其捕获过滤器和显示过滤器，设置需要抓取的网络数据包。

1、 Wireshark 有两种过滤器。一是捕获过滤器，启用后仅抓取符合规则的数据包。设置方法为：在主界面直接配置，或通过工具栏捕获-选项进行调整。

2、 第二种是显示过滤器，可在捕获界面的上方设置，用于捕获过程中或结束后的筛选。

3、 捕获与显示过滤器语法相似，以下以捕获过滤器为例进行详细说明。

4、 首先，输入port可指定捕获数据包的端口，例如，port 80表示捕获所有使用80端口的数据包。

5、 另外，可在port前加src或dst，分别指定源端口或目的端口；也可单独使用src或dst限定源地址或目标地址。例如，dst 192.168.1.1表示捕获所有发往192.168.1.1的网络数据包。

6、 可以直接用 TCP/IP 协议栈中的协议名称捕获特定协议的数据包，例如，tcp可捕获所有基于 TCP 协议的数据包。

7、 此外，通过结合括号、and、or 和 not 等逻辑运算符，可以构建复杂的表达式。例如：dst 192.168.1.1 and ((not tcp port 80) or udp port 2333) 的含义是：捕获目标地址为 192.168.1.1 的数据包，其中包括两类情况——一类是不使用 80 端口的 TCP 数据包；另一类是使用 2333 端口的 UDP 数据包，同时目标地址仍需为 192.168.1.1。这种语法有助于精确筛选网络流量，满足特定分析需求。

8、 Wireshark 提供诸多预定义捕获规则，可通过捕获-捕获过滤器查看，也支持自定义添加。