带给你Wireshark之捕获过滤器

前文章《我是如何使用wireshark软件的》中介绍了wireshark的使用，提到了显示过滤器和捕获过滤器，重点介绍了显示过滤器，本文将主要介绍一下捕获过滤器。

这里再次说明一下两者区别，需要看显示过滤器的同学，请看文章《我是如何使用wireshark软件的》。

1. 捕获过滤器：当进行数据包捕获时，只有那些满足给定的包含/排除表达式的数据包会被捕获。
2. 显示过滤器：该过滤器根据指定的表达式用于在一个已捕获的数据包集合中，隐藏不想显示的数据包，或者只显示那些需要的数据包。

01简介

首先了解下，为什么需要捕获过滤器。举个例子，在一台服务器(TCPsever，端口5005)上，一个客户端(其他家公司设备)运行几天，就会突然掉线。这时候，说不清是服务器把客户端踢下线，还是客户端主动离线。

当然，这个时候在服务器添加日志记录即可，就可以找“真凶”。如果是对方设备主动离线，对方又不配合时，对方“不相信你的日志”。这个时候，使用wireshark抓包，找出对方设备(TCPClient)先发出的FIN断开连接的证据，然后“甩”他脸上即可。

其实上述场景，我在《我是如何使用wireshark软件的》文中也提到过解决方案，使用显示过滤加定时保存的策略，不过这样在几天的抓包中，会导致抓包文件很大。而捕获过滤则可以解决这个问题。

捕获过滤使用方法

1.选择捕获->捕获过滤器，然后编辑一个新的捕获过滤器选项：名称为“port5005”(名字根据自己的需求即可)，过滤器为“port5005”。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!