Wireshark提供了强大的过滤功能，允许用户根据各种标准筛选和缩小捕获的数据包范围。以下是一些常用的Wireshark过滤器：

1. 协议过滤器：
   • tcp：仅显示TCP协议的数据包。
   • udp：仅显示UDP协议的数据包。
   • icmp：仅显示ICMP协议的数据包。
   • http：仅显示HTTP协议的数据包。
   • dns：仅显示DNS协议的数据包。
2. IP地址和端口过滤器：
   • ip.addr == 192.168.1.1：显示源或目的IP地址为192.168.1.1的数据包。
   • ip.src == 192.168.1.1：仅显示源IP地址为192.168.1.1的数据包。
   • ip.dst == 192.168.1.1：仅显示目的IP地址为192.168.1.1的数据包。
   • tcp.port == 80：显示TCP端口为80的数据包。
   • udp.port == 53：显示UDP端口为53的数据包。
3. 逻辑运算符：
   • and：逻辑与，例如ip.addr == 192.168.1.1 and tcp.port == 80。
   • or：逻辑或，例如tcp.port == 80 or tcp.port == 443。
   • not：逻辑非，例如not dns。
4. 表达式过滤器：
   • frame.len >= 100：显示长度大于或等于100字节的数据包。
   • tcp.flags.syn == 1：仅显示设置了SYN标志的TCP数据包。
5. 字符串匹配过滤器：
   • http.request.uri contains "login"：显示HTTP请求URI中包含"login"的数据包。
   • dns.qry.name == "example.com"：显示DNS查询中请求的域名是"example.com"的数据包。
6. 其他过滤器：
   • vlan：仅显示带有VLAN标记的数据包。
   • wlan：仅显示无线局域网（WLAN）相关的数据包。
   • arp：仅显示ARP协议的数据包。
     使用这些过滤器时，您可以在Wireshark的过滤器栏中输入它们，然后按Enter键应用。有效的过滤器会减少显示的数据包数量，使您能够专注于分析特定类型的网络流量。记得，过滤器的语法必须正确，否则Wireshark将不会应用它。