From: http://www.cnblogs.com/icez/p/3973873.html

Wireshark是一个强大的网络协议分析软件，最重要的它是免费软件。

   

过滤规则

只抓取符合条件的包，在Wireshark通过winpacp抓包时可以过滤掉不符合条件的包，提高我们的分析效率。

如果要填写过滤规则，在菜单栏找到capture->options,弹出下面对话框，在capture filter输入框内填写相应的过滤规则，点击下方的start 就生效了。

   

1.只抓取HTTP报文

tcp port 80

解析：上面是只抓取tcp 协议中80端口的包，大部分Web网站都是工作在80端口的，如果碰到了81端口呢？可以使用逻辑运算符or呗！如 tcp port 80 or tcp port 81

   

2.只抓取arp报文

ether proto 0x0806

解析：ether表示以太网头部，proto表示以太网头部proto字段值为0x0806，这个字段的值表示是ARP报文，如果的ip报文此值为0x8000

   

3.只抓取与某主机的通信

host www.cnblogs.com

只抓取和博客园服务器的通信,src表示源地址，dst表示目标地址

   

   

4.只抓取ICMP报文

icmp

更多关于过滤规则的说明可以参考：

   

http://www.tcpdump.org/tcpdump_man.html

   

显示规则

只是将已经抓取到的包进行过滤显示。

在下方的输入框添入相应的规则点击apply即可，如果需要清除这一次的显示过滤点击Clear即可

   

   

1.只显示HTTP报文

tcp.port == 80

   

2.只显示ARP报文

eth.type == 0x806

   

也许你会说Type后面的值记不住，没关系可以点击Expression会弹出Filter Expression窗口，如下图：

   

   

3.只显示与某主机的通信

ip.addr == 42.121.252.58

   

4.只显示ICMP报文

Icmp

   

学习中比较常用，就记录下来了