• #Wireshark提供了兩種過濾器：
• 1、捕獲過濾器
• 2、顯示過濾器
• #過濾器具體寫法
• #顯示過濾器寫法
• 1、過濾值比較符號(hào)及表達(dá)式之間的組合
• 2、針對(duì)ip的過濾
• 3、針對(duì)協(xié)議的過濾
• 4、針對(duì)端口的過濾（視傳輸協(xié)議而定）
• 5、針對(duì)長(zhǎng)度和內(nèi)容的過濾
• 5、針對(duì)http請(qǐng)求的一些過濾實(shí)例。
• #捕捉過濾器寫法
• 1、比較符號(hào)
• 2、常用表達(dá)式實(shí)例

捕獲過濾器：在抓包之前就設(shè)定好過濾條件，然后只抓取符合條件的數(shù)據(jù)包。

顯示過濾器：在已捕獲的數(shù)據(jù)包集合中設(shè)置過濾條件，隱藏不想顯示的數(shù)據(jù)包，只顯示符合條件的數(shù)據(jù)包。

注意：這兩種過濾器所使用的語(yǔ)法是完全不同的，想想也知道，捕捉網(wǎng)卡數(shù)據(jù)的其實(shí)并不是Wireshark,而是WinPcap,當(dāng)然要按WinPcap的規(guī)則來，顯示過濾器就是Wireshark對(duì)已捕捉的數(shù)據(jù)進(jìn)行篩選。

使用捕獲過濾器的主要原因就是性能。如果你知道并不需要分析某個(gè)類型的流量，那么可以簡(jiǎn)單地使用捕獲過濾器過濾掉它，從而節(jié)省那些會(huì)被用來捕獲這些數(shù)據(jù)包的處理器資源。當(dāng)處理大量數(shù)據(jù)的時(shí)候，使用捕獲過濾器是相當(dāng)好用的。

Wireshark攔截通過網(wǎng)卡訪問的所有數(shù)據(jù)，前提是沒有設(shè)置任何代理。Wireshark不能攔截本地回環(huán)訪問的請(qǐng)求，即127.0.0.1或者localhost。

• 對(duì)源地址進(jìn)行過濾

• 對(duì)目的地址進(jìn)行過濾

ip.dst == 192.168.0.1

• 對(duì)源地址或者目的地址進(jìn)行過濾

• 如果想排除以上的數(shù)據(jù)包，只需要將其用括號(hào)囊括，然后使用 “!” 即可

!(ip.addr == 192.168.0.1)

• 獲某種協(xié)議的數(shù)據(jù)包，表達(dá)式很簡(jiǎn)單僅僅需要把協(xié)議的名字輸入即可

注意：是否區(qū)分大小寫？答：區(qū)分，只能為小寫

• 捕獲多種協(xié)議的數(shù)據(jù)包

http or telnet

• 排除某種協(xié)議的數(shù)據(jù)包

• 捕獲某一端口的數(shù)據(jù)包（以tcp協(xié)議為例）

tcp.port == 80

• 捕獲多端口的數(shù)據(jù)包，可以使用and來連接，下面是捕獲高于某端口的表達(dá)式（以u(píng)dp協(xié)議為例）

• 針對(duì)長(zhǎng)度的過慮（這里的長(zhǎng)度指定的是數(shù)據(jù)段的長(zhǎng)度）

udp.length < 20   http.content_length <=30

• 針對(duì)uri 內(nèi)容的過濾

注意：matches 后的關(guān)鍵字是不區(qū)分大小寫的！

http.request.uri contains 'User' (請(qǐng)求的uri中包含“user”關(guān)鍵字的)

注意：contains 后的關(guān)鍵字是區(qū)分大小寫的！

• 過濾出請(qǐng)求地址中包含“user”的請(qǐng)求，不包括域名；

• 精確過濾域名

http.host==baidu.com

• 模糊過濾域名

• 過濾請(qǐng)求的content_type類型

http.content_type =='text/html'

• 過濾http請(qǐng)求方法

• 過濾tcp端口

tcp.port==80

• 過濾http響應(yīng)狀態(tài)碼

http.response.code==302

• 過濾含有指定cookie的http數(shù)據(jù)包

在wireshark的工具欄中點(diǎn)擊捕獲 →捕獲過濾器，可以看到一些過濾器的寫法，如下圖：

與：&&或者and或：||或者or非：！或者not

實(shí)例：

• 源地址過濾

src www.baidu.com

• 目的地址過濾

• 目的地址端口過濾

dst post 80

• 協(xié)議過濾