2.2　捕获过滤器

Wireshark中提供了两种不同的过滤器：捕获过滤器和显示过滤器。其中捕获过滤器是在Wireshark捕获过程的同时进行工作的，这意味着如果你使用了捕获过滤器，那么Wireshark就不会捕获不符合规则的数据包。

而显示过滤器则不同，它是在Wireshark捕获的过程后进行工作的，这表示即使你使用了显示过滤器，Wireshark仍然会捕获不符合规则的数据包，但是并不会将它们显示在数据包面板上。

我们先来看看捕获过滤器的使用方法。捕获过滤器的配置必须要在使用Wireshark进行捕获数据包之前进行，配置过程的步骤如下所示。

（1）如图2-3所示，首先依次选择菜单栏上的“捕获”→“选项”按钮。

图2-3　Wireshark中的“选项”按钮

（2）如图2-4所示，在“所选择接口的捕获过滤器”后面的文本框中填写字符串形式的过滤器。

图2-4　Wireshark中设置捕获过滤器

这个编写的过滤器如果不正确的话，文本框的颜色会变成粉红色，如果正确的话则为绿色。图2-5给出了一个正确的过滤器。

图2-5　一个设置好的捕获过滤器

捕获过滤器遵循了伯克利包过滤的语法，我们可以使用上一节中介绍的各种命令来完成各种过滤任务。例如下面给出了一些常见的过滤器。

•tcp dst port 80：只保留目标端口为80的TCP数据包。

•ip src host 192.168.1.1：只保留源地址为192.168.1.1的数据包。

•src portrange 2000-2500：只保留源端口在2000～2500范围的UDP和TCP数据包。

•not icmp：保留除了icmp以外的数据包。

•src host 10.7.2.12 and not dst net 10.200.0.0/16：保留源地址为10.7.2.12，但目标地址不为10.200.0.0/16范围的数据包。