• #Wireshark提供了兩種過濾器：
• 1、捕獲過濾器
• 2、顯示過濾器
• #過濾器具體寫法
• #顯示過濾器寫法
• 1、過濾值比較符號及表達(dá)式之間的組合
• 2、針對ip的過濾
• 3、針對協(xié)議的過濾
• 4、針對端口的過濾（視傳輸協(xié)議而定）
• 5、針對長度和內(nèi)容的過濾
• 5、針對http請求的一些過濾實(shí)例。
• #捕捉過濾器寫法
• 1、比較符號
• 2、常用表達(dá)式實(shí)例

捕獲過濾器：在抓包之前就設(shè)定好過濾條件，然后只抓取符合條件的數(shù)據(jù)包。

顯示過濾器：在已捕獲的數(shù)據(jù)包集合中設(shè)置過濾條件，隱藏不想顯示的數(shù)據(jù)包，只顯示符合條件的數(shù)據(jù)包。

注意：這兩種過濾器所使用的語法是完全不同的，想想也知道，捕捉網(wǎng)卡數(shù)據(jù)的其實(shí)并不是Wireshark,而是WinPcap,當(dāng)然要按WinPcap的規(guī)則來，顯示過濾器就是Wireshark對已捕捉的數(shù)據(jù)進(jìn)行篩選。

使用捕獲過濾器的主要原因就是性能。如果你知道并不需要分析某個類型的流量，那么可以簡單地使用捕獲過濾器過濾掉它，從而節(jié)省那些會被用來捕獲這些數(shù)據(jù)包的處理器資源。當(dāng)處理大量數(shù)據(jù)的時候，使用捕獲過濾器是相當(dāng)好用的。

Wireshark攔截通過網(wǎng)卡訪問的所有數(shù)據(jù)，前提是沒有設(shè)置任何代理。Wireshark不能攔截本地回環(huán)訪問的請求，即127.0.0.1或者localhost。

• 對源地址進(jìn)行過濾

• 對目的地址進(jìn)行過濾

ip.dst == 192.168.0.1

• 對源地址或者目的地址進(jìn)行過濾

• 如果想排除以上的數(shù)據(jù)包，只需要將其用括號囊括，然后使用 “!” 即可

!(ip.addr == 192.168.0.1)

• 獲某種協(xié)議的數(shù)據(jù)包，表達(dá)式很簡單僅僅需要把協(xié)議的名字輸入即可

注意：是否區(qū)分大小寫？答：區(qū)分，只能為小寫

• 捕獲多種協(xié)議的數(shù)據(jù)包

http or telnet

• 排除某種協(xié)議的數(shù)據(jù)包

• 捕獲某一端口的數(shù)據(jù)包（以tcp協(xié)議為例）

tcp.port == 80

• 捕獲多端口的數(shù)據(jù)包，可以使用and來連接，下面是捕獲高于某端口的表達(dá)式（以udp協(xié)議為例）

• 針對長度的過慮（這里的長度指定的是數(shù)據(jù)段的長度）

udp.length < 20   http.content_length <=30

• 針對uri 內(nèi)容的過濾

注意：matches 后的關(guān)鍵字是不區(qū)分大小寫的！

http.request.uri contains 'User' (請求的uri中包含“user”關(guān)鍵字的)

注意：contains 后的關(guān)鍵字是區(qū)分大小寫的！

• 過濾出請求地址中包含“user”的請求，不包括域名；

• 精確過濾域名

http.host==baidu.com

• 模糊過濾域名

• 過濾請求的content_type類型

http.content_type =='text/html'

• 過濾http請求方法

• 過濾tcp端口

tcp.port==80

• 過濾http響應(yīng)狀態(tài)碼

http.response.code==302

• 過濾含有指定cookie的http數(shù)據(jù)包

在wireshark的工具欄中點(diǎn)擊捕獲 →捕獲過濾器，可以看到一些過濾器的寫法，如下圖：

與：&&或者and或：||或者or非：！或者not

實(shí)例：

• 源地址過濾

src www.baidu.com

• 目的地址過濾

• 目的地址端口過濾

dst post 80

• 協(xié)議過濾