前言

   Wireshark 是一款流行的网络协议分析工具，它允许用户通过过滤器表达式来筛选捕获的数据包。过滤器表达式基于特定语法来定义哪些数据包应该被显示或忽略。

1.过滤器操作

过滤器是Wireshark的核心功能，也是我们平时使用最多的一个功能。Wireshark提供了两个过滤器：抓包过滤器 和 显示过滤器。两个过滤器的过滤思路不同。

     抓包过滤器：重点在动作，需要的包我才抓，不需要的我就不抓。

    显示过滤器：重点在数据的展示，包已经抓了，只是不显示出来。

1.1. 抓包过滤器

抓包过滤器在抓包前使用，它的过滤有一个基本的语法格式：BPF语法格式。

    BPF（全称 Berkeley Packet Filter），中文叫伯克利封包过滤器，它有四个核心元素：类型、方向、协议 和 逻辑运算符。

• 类型Type：主机（host）、网段（net）、端口（port）