推荐

Wireshark使用教程（界面说明、捕获过滤器表达式、显示过滤器表达式）

Wireshark常用过滤使用方法

过滤

打开主页面能看到很多报文，但是从这么多报文中筛选我们需要的某个类型的报文，就需要用到表达式功能，比如下面，只让列表显示Pairing相关的内容：

1. 首先点击“表达式…”

2. 然后输入首先在下面搜索的范围，比如我们这里要从airoha里面获取相关的内容，这里就输入“airoha” ，然后在左上角筛选出来的列表中选中我们想要筛选的类型，然后点击右边的关系，比如我们想要搜索的是包含关系，这里就选中“contains”，然后在下面值那一项输入要匹配的关键字，比如这里我们要匹配“Pairing”相关的，然后我们点击底部的“确定”，

3. 输入框里的内容就是软件生成的表达式，然后点击输入框后面的箭头，下面列表就只显示跟 输入关键字相关的内容了!

搜索

关于搜索内容可以参考这一篇文章：如何使用Wireshark进行 关键字搜索过滤/搜索报文关键字/字符串查找

拓展

常用功能

切换抓包时间的显示方法

视图 -》时间显示格式 ，可在绝对时间和相对时间格式中来回切换

使用 Ctrl + T
可将选中的抓包，标记为第一个包，以此为参考用相对时间来标记

使用追踪流
右击选中的包，选择追踪流，选择对应追踪协议

捕获过滤器

捕获过滤器是网络驱动层面的过滤器

很多网络报文过滤软件支持捕获过滤器，包括 tcpdump

菜单栏 -》捕获 -》选项 -》选中需要过滤的接口 -》窗口下方输入过滤条件 -》点击开始

过滤语法：BPF 语法

例如，抓取 80 端口下，Http GET 请求：

port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420

显示过滤器

显示过滤器针对已经捕获的报文进行过滤显示

显示过滤器是 wireshark 独有的功能

在报文捕获界面，最上方可直接输入过滤条件

过滤条件的两种查询方法：

方法1：视图 -》内部 -》支持的协议

方法2：点击过滤输入框，之后有一个表达式的 button