如何在 Wireshark 中使用顯示過濾器

Wireshark 顯示過濾器語言允許您控制平台當前顯示的數據包。通常，顯示過濾器用於檢查協議或字段是否存在。但是，您也可以使用它們來使用邏輯運算符（例如“and”和“or”）來比較包。

Wireshark 顯示過濾器和捕獲過濾器很容易混淆。本文介紹如何在 PC 和 Mac 上使用平台顯示過濾器。它還討論了 Wireshark 中顯示過濾器和捕獲過濾器之間的區別。

如何在 Windows PC 上的 Wireshark 中使用顯示過濾器

在 PC 上使用 Wireshark 屏幕過濾器非常簡單。該平台在屏幕頂部提供了一個框，可讓您快速說明要顯示的包。通常，您將根據以下內容顯示包。

• 協議
• 字段值
• 現場存在
• 字段之間的比較

但是，顯示字段功能允許更複雜的用途。

有兩種方法可以在 Windows PC 上使用 Wireshark 中的顯示過濾器。

方法 1 – 直接過濾器類型

假設您只想顯示日誌，請執行以下操作。

• 在Wireshark中找到並單擊“顯示過濾器”工具欄。

• 在工具欄上輸入協議的名稱。例如，如果要顯示所有 TCP 數據包，請輸入“tcp”。

• 按“Enter”應用選定的過濾器。或者，您可以在輸入過濾器表達式後單擊“應用”。

您現在應該看到 Wireshark 根據您選擇的過濾器顯示數據包。所有這些包都保留在其關聯的捕獲文件中。顯示過濾器不會更改捕獲文件的內容。它顯示與您正在應用的過濾器相關的數據包。

如果要刪除應用的過濾器，請單擊“清除”按鈕。它位於顯示過濾器工具欄的右側。

方法號 2 – 統計面板

此方法是一種應用過濾器的方法，無需直接在顯示過濾器工具欄上鍵入。

• 在頂部菜單中找到“統計”並單擊它。

• 從下拉列表中選擇一個選項。對於本演練，選擇端點。

• 應出現一個端點報告彈出窗口，顯示 MAC 地址。右鍵單擊其中一個地址並選擇應用為過濾器。

• 單擊已選擇。

您選擇的語法會自動輸入到顯示過濾器工具欄中。

如何在 Mac 上的 Wireshark 中使用顯示過濾器

Mac 上的 Wireshark 允許您使用顯示過濾器來顯示基於各種參數和表達式的數據包，包括協議、字段比較、字段值等。在 Mac 上使用顯示過濾器有兩種方法。

方法 #1 – 顯示過濾器工具欄

以下步驟顯示了一個簡單的協議。如果您熟悉Wireshark ，您可以使用不同的運算符來創建更複雜的過濾器。請按照以下步驟獲取簡單的日誌顯示過濾器。

• 單擊屏幕頂部的顯示過濾器工具欄。它是“過濾器”一詞旁邊的文本框。

• 輸入協議的名稱並單擊應用按鈕。

Wireshark 顯示與當前捕獲過濾器中輸入的協議相關聯的每個數據包。單擊顯示過濾器工具欄旁邊的清除按鈕以刪除過濾器並再次顯示所有包。

方法號 2 – 統計面板

如果您不知道過濾器的確切表達式，在某些情況下可以使用更簡單的方法。以下示例說明如何使用端點創建顯示過濾器。它也可以應用於其他幾種類型的表達式和協議。按照以下步驟創建端點顯示過濾器。

• 單擊頂部菜單欄上的“統計信息”。

• 選擇端點。

• 在彈出窗口中導航到要過濾的端點，右鍵單擊並突出顯示“應用為過濾器”。

• 選擇“已選擇”。

您應該會看到 Wireshark 在顯示過濾器工具欄中自動輸入您選擇的語法。該平台還將顯示與您選擇的端點相關的數據包。

其他常見問題解答

顯示過濾器和捕獲過濾器有什麼區別？

Wireshark 允許您使用顯示過濾器和捕獲過濾器來瀏覽您的數據包。這些過濾器很容易混淆。但是，它們服務於不同的目的並且需要使用不同的語法。

當您收集了所需的所有內容並希望顯示某些包以進行分析時，將使用顯示過濾器。

捕獲過濾器比顯示過濾器更受限制。它們減少了原始數據包捕獲的大小，並且必須在開始數據包捕獲過程之前安裝。通常，當您想使用命令從捕獲中返回或刪除某些類型的數據包時，您將使用捕獲過濾器。在捕獲過程中不能更改捕獲過濾器。

顯示過濾器和捕獲過濾器在它們使用的語法上也不同。

使用顯示過濾器，您可以使用邏輯過濾器和運算符的組合來創建要創建的過濾器的邏輯描述。示例包括“==”和“！=”，分別表示“等於”和“不等於”。

捕獲過濾器使用更複雜的語法，將掩碼、字節偏移量和十六進制值與邏輯過濾語言相結合。這使得捕獲過濾器不如顯示過濾器直觀，儘管這也意味著您可以使用它們來應用更複雜的過濾器。

應用您的過濾器

Wireshark 的顯示過濾器功能允許您快速檢查捕獲中的數據包。它非常適合需要消除屏幕上的所有噪音以便分析特定協議或字段的大型拍攝。Wireshark 通過其 wiki 提供有關各種過濾器修飾符和顯示過濾器表達式的詳細信息。

但現在我們想听聽你的意見。您需要多久分析一次 Wireshark 中的某些數據包？您認為使用顯示過濾器會幫助您在使用平台時變得更有效率嗎？在下面的評論中告訴我們您對 Wireshark 顯示過濾器的看法。