協議篩選和表達式篩選

顯示過濾器表達式的作用是在Wireshark抓包工具捕獲數據包之后，從已捕獲的所有數據包中顯示出符合條件的數據包，隱藏不符合條件的數據包。顯示過濾器的表達式區分大小寫。

篩選分為協議篩選和表達式篩選。

協議篩選根據通信協議篩選數據包，如HTTP、FTP等。常用的協議有UDP、TCP、ARP、ICMP、SMTP、POP、DNS、IP、Telnet、SSH、RDP、RIP、OSPF等。

表達式篩選分為基本過濾表達式和復合過濾表達式。

一條基本的表達式由過濾項、過濾關系、過濾值3項組成。

例如，在ip.addr == 192.168.1.1這條表達式中，ip.addr是過濾項、==是過濾關系、192.168.1.1是過濾值。這條表達式的意思是找出所有IP中源或目標IP地址等于192.168.1.1的數據包。

1.過濾項

初學者往往會感覺過濾表達式比較復雜，最主要的原因就是過濾項：一是不知道有哪些過濾項，二是不知道過濾項該怎么寫。

這兩個問題有一個共同的答案，Wireshark的過濾項是“協議+ . +協議字段”的模式。以端口為例，端口出現在TCP中，那么有端口這個過濾項的寫法就是tcp.port。

推廣到其他協議，如ETH、IP、HTTP、Telnet、FTP、ICMP、SNMP等都是這個書寫思路。當然，出于縮減長度的原因，有些字段沒有使用協議規定的名稱，而是使用簡寫(例如，Destination Port在Wireshark中寫為dstport)，又加了一些協議中沒有的字段(例如，TCP只有源端口和目標端口字段，為了簡便，使用Wireshark增加了tcp.port字段來同時代表源端口和目標端口)，但總的思路沒有變。而且在實際使用時輸入“協議+ . ”，Wireshark就會有支持的字段提示，看一下名稱就大概知道要用哪個字段了。

2.過濾關系

過濾關系就是大于、小于、等于等幾種等式關系，我們可以直接參照官方給出的表，如表1所示。注意，其中有“English”和“C-like”兩個字段，“English”和“C-like”這兩種寫法在Wireshark中是等價的，都是可用的。

表1 基本過濾關系

3.過濾值

過濾值就是設定的過濾項應該滿足過濾關系的標準，如500、5000、50000等。過濾值的寫法一般已經被過濾項和過濾關系設定好了，只需要填寫期望值即可。