WireShark是一款強大的網絡封包分析工具，它允許你捕獲網絡流量并深入分析數據包的內容。為了高效地從大量的網絡數據中找到你需要的信息，掌握其篩選功能至關重要。WireShark提供了兩種主要的篩選方式：捕獲過濾器（Capture Filters）和顯示過濾器（Display Filters）。

捕獲過濾器（Capture Filters）

捕獲過濾器在數據包捕獲開始之前應用，用于減少被捕獲的數據量，僅捕獲滿足特定條件的流量。這可以節省硬盤空間和分析時間。捕獲過濾器的語法與libpcap/WinPcap兼容，通常用于過濾掉不感興趣的流量類型。

示例：

• 捕獲特定IP的流量：host 192.168.1.100

• 捕獲特定端口的流量：port 80

• 捕獲特定協議的流量：tcp

顯示過濾器（Display Filters）

顯示過濾器則在數據包捕獲完成后應用，用于從已捕獲的數據中篩選出需要分析的數據包。顯示過濾器更加靈活且功能強大，支持復雜的邏輯表達式，可以基于幾乎所有的數據包字段進行篩選。

常用顯示過濾器示例：

• 查看特定IP的通信：ip.addr == 192.168.1.100

• 篩選特定端口的流量：tcp.port == 80 或 udp.port      == 53

• 依據協議篩選：http 或 dns

• 組合條件：(http && tcp.port == 80) || (dns && udp.port == 53)

• 時間相關：frame.time > "2024-06-30 23:59:59"

• 包含特定字符串的內容過濾：http contains "login"

使用技巧：

• 利用自動補全功能：在過濾器欄輸入時，Wireshark會提供可能的字段補全建議。

• 學習和參考Wireshark自帶的過濾表達式助手（Filter Expression）和在線文檔，以獲得更詳細的過濾器語法和示例。

• 使用顏色標記規則（Coloring Rules）來視覺上區分不同的數據包類型或條件，便于快速識別。

• 對于復雜的過濾需求，可以分步篩選，先用較寬泛的條件過濾，再逐步細化。

通過熟練應用這兩種過濾器，你可以高效地定位并分析網絡中的特定通信，無論是排查故障、分析協議行為還是進行安全審計。