Wireshark 捕获过滤规则设置方法，新手需知

       使用 Wireshark 软件进行抓包，为了捕获指定的网络数据包，我们可以设置过滤规则，这样就能正确转包。问题来了，如何设置 Wireshark 捕获过滤器？为了帮助新手用户解决困扰，本文整理了详细说明，请参考。

Wireshark 如何设置捕获过滤规则？

从 Wireshark 2.x 版本开始，启动软件，在欢迎界面中就能看到捕获过滤器，在框中输入过滤表达式，即可抓取符合规则的数据包，

点击图中的书签标志，弹出菜单，选择“管理捕获筛选器”，即可看到捕获过滤表达示的书写形式，如图，

过滤表达式的语法说明

一条基本的表达式由过滤项. 过滤关系和过滤值这三项组成，比如 ip.addr == 192.168.1.1，ip.addr 是过滤项，==是过滤关系，192.168.1.1是过滤值，意思就是找出所有 ip 协议中源或目标 ip 等于 192.168.1.1 的数据包。

过滤项： Wireshark 的过滤项是“协议.协议字段”的模式，以端口为例，端口出现于 tcp 协议中所以有端口这个过滤项且其写法就是 tcp.port，

过滤关系：过滤关系就是大于. 小于. 等于这三种关系，你可以直接查看官方给出的表，注意，“English”和“C-like”这两种写法在 Wireshark 中是等价的，都是可用的。

过滤值：过滤值是指设定的过滤项应该满足过滤关系的标准，比如 500. 5000. 50000 等，过滤值的写法一般已经被过滤项和过滤关系设定了，只需要填写你自己的期望值即可。

过滤表达式举例

1. 数据链路层：

筛选 mac 地址为 04:f9:38:ad:13:26 的数据包----eth.src == 04:f9:38:ad:13:26

2. 网络层：

筛选 ip 地址为192.168.1.1的数据包----ip.addr == 192.168.1.1

3. 传输层：

筛选 tcp 协议的数据包----tcp

筛选除 tcp 协议以外的数据包----!tcp

筛选端口为 80 的数据包----tcp.port == 80

只看文章说明，大家可能还是有点模糊，无妨，只要多多练习即可很快理解。想了解更多精彩教程资讯，请关注完美下载。