ARP协议全面实战手册1.1.2设置过滤器

如果使用Wireshark捕获数据包时，默认捕获所有协议的数据包。如果接收到的数据包过多时，想要查看自己想看的数据包，可能非常困难。幸运的是，Wireshark工具可以通过创建过滤器的方式，实现数据包过滤。下面将介绍Wireshark工具的过滤器使用规则。本文选自《ARP协议全面实战手册——协议详解、攻击与防御（大学霸）》

在Wireshark工具中提供了两种过滤器，分别是捕捉过滤器和显示过滤器。首先来看下这两种过滤器的区别。

q  捕捉过滤器：用来决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。

q  显示过滤器：在捕捉结果中进行详细查找。用户可以在得到捕捉结果后随意修改。

从概念上来说，两种过滤器的目的是不同的。捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。显示过滤器是一种更为强大（复杂）的过滤器。它允许用户在日志文件中迅速准确地找到所需要的记录。而且这两种过滤器使用的语法是完全不同的。

下面分别介绍这两种过滤器的语法及使用方法。

1.捕捉过滤器

捕捉过滤器的语法格式如下所示：

Protocol  Direction  Host(s)  Value  Logical Operations  Other expression

以上语法中各选项含义如下所示：

q  Protocol（协议）：该选项用来指定协议。可使用的值有ether、fddi、ip、arp、rarp、decnet、lat、sca、moproc、mopdl、tcp、dup。如果没有特别指明是什么协议，则默认使用所有支持的协议。

q  Direction（方向）：该选项用来指定来源或目的地，默认使用src or dst作为关键字。该选项可使用的值有：src、dst、src and dst、src or dst。

q  Host（s）：指定主机地址。如果没有指定，默认使用host关键字。可能使用的值有net、port、host、portrange。

q  Logical Operations（逻辑运算）：该选项用来指定逻辑运算符。可能使用的值有not、and、or。其中，not（否）具有最高的优先级；or（或）和and（与）具有相同的优先级，运算时从左至右进行。

设置捕捉过滤器的步骤如下所示：

（1）在Wireshark主界面的工具栏中依次选择Capture|Options命令，将显示如图1.5所示的界面。

在该界面Capture Filter对应的文本框中添加过滤条件，然后单击Start按钮，将开始捕获数据。《ARP协议全面实战手册——协议详解、攻击与防御（大学霸）》