Wireshark是排查网络故障的主要工具之一，它具有很多功能和选项，可企业帮助分析数据。然而，在繁忙的网络中可能有非常多的数据，而根本不可能通过筛选海量数据来确定特定系统或协议的问题。这正是捕捉和显示过滤器的用武之地。

当你事先知道你在寻找什么时，你可以使用捕捉过滤器。这种工具可以让你预先定义捕捉的流量类型。举个例子，你可以设置捕捉过滤器来只捕捉HTTP流量。而在捕捉流量后，你就需要使用显示过滤器。如果你已经捕捉了所有类型的流量，但你认为有人在尝试进行地址解析协议（ARP）缓存中毒，你可以设置显示过滤器来只显示ARP数据包。无论你使用何种类型的过滤器，它们都可以让你忽略你不感兴趣的流量。

Wireshark显示和捕捉过滤器则路由不同。Wireshark显示过滤器让你可以专注于自己感兴趣的事物，而忽略你不关心的事物。你可通过Filter编辑框来进行设置，它就在Wireshark显示窗左上角附近，即工具栏的下方，如图1所示。还有一个历史选项让你可以选择你已经使用过的过滤器。

图1—Wireshark显示过滤器

你还可以使用Wireshark显示过滤器对话框来选择很多预定义的过滤器或者创建新的过滤器。这是使用最常用的过滤器来故障排除安全问题的有效方法。

让我们来看看一些基本的过滤器以及它们各自的效果：

ip.addr == 192.168.123.211

这个过滤器显示了笔者为每个显示的数据包指定的来源或目的地地址。

现在，让我们来看看另一个IP地址过滤器。

ip.src == 192.168.123.211

这个过滤器只显示了来自这个特定地址的数据包。你不会看到以这个地址作为目的地的数据包。如果你只是对发送到这个地址的数据感兴趣，你可以使用ip.dst。

再让我们看看另一个过滤器。

“dns && ip.src == 192.168.123.211”

这个过滤器只显示来自指定地址的域名系统查询。这是很好的“and”规则的例子，你可以使用“&&”来组合规则。但应该注意是使用两个&而不是一个。在某些情况下，单个&是有效的，但可能不会产生你所期望的结果；它意味着将会执行逻辑的“and”操作。

让我们再看看“not”规则。

“! Ip.src == 192.168.123.211”

这个感叹号是“not”规则，它表达否定的意思，有时候被称为“bang”。现在，我们将这个过滤器改为：

ip.src != 192.168.123.211

请注意，这里的区别很微妙。这两个过滤器并不相同：在第一个过滤器中，它意味着检查IP来源地址来看看是否与提供的相同，然后否定结果。第二个过滤器显示了来自地址24.173.228.211的内容，这包括非IPv4流量，例如ARP、生成树协议和IPv6等。

最后，最重要的是了解，Wireshark只是简单地收集数据，主要由你来弄清楚你要寻找什么以及如何得到结果。构建良好的过滤器只是成功的一半；另一半是了解基础协议，让你知道去寻找什么。