Wireshark显示过滤器前面我介绍过如何使用Wireshark抓取需要的数据包,但是当抓取的数据包日志越来越大的时候一行一行的看、也是一个很大的工作量、这个时候我们就需要用到显示过滤器了。显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。我之前文章里面讲解的如何抓取数据包就是用到捕捉过滤器。那么我应该使用哪一种过滤器呢？两种过滤器的目的是不同的。捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。显示过滤器语法：Protocol.String1.String2ComparisonoperatorValueLogicalOperationsOtherexpression例子：ftppassiveip==10.2.3.4xoricmp.type例子：snmp||dns||icmp显示SNMP或DNS或ICMP封包。ip.addr==192.168.10.10显示来源或目的IP地址为192.168.10.10的封包。ip.src!=10.1.2.3orip.dst!=10.4.5.6显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。换句话说，显示的封包将会为：来源IP：除了10.1.2.3以外任意；目的IP：任意以及来源IP：任意；目的IP：除了10.4.5.6以外任意ip.src!=10.1.2.3andip.dst!=10.4.5.6显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。换句话说，显示的封包将会为：来源IP：除了10.1.2.3以外任意；同时须满足，目的IP：除了10.4.5.6以外任意tcp.port==25显示来源或目的TCP端口号为25的封包。tcp.dstport==25显示目的TCP端口号为25的封包。tcp.flags显示包含TCP标志的封包。tcp.flags.syn==0×02显示包含TCPSYN标志的封包。如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。可以使用6种比较运算符：英文写法：C语言写法：含义：eq==等于ne!=不等于gt>大于lt<小于ge>=大于等于le<=小于等于Logicalexpressions（逻辑运算符）:英文写法：C语言写法：含义：and&&逻辑与or||逻辑或xor^^逻辑异或not!逻辑非