Wireshark过滤所有当前数据包?

时间:2019-02-27 14:51:32

标签: networking wireshark network-traffic

假设我要监视[A]应用程序并且该应用程序尚未运行
当我启动Wireshark时,它将告诉我网络适配器中发生的一切 所以我就这样过滤这些数据包

(((((((((((((((((((((((((((((((((((((((((((((((((((((((((!(ip.addr == 192.168.2.3) && !(smb2)) && !(ip.addr == 192.168.2.1)) && .....

您可以从括号中看到我的过滤器多长时间
之后,我看到一个几乎没有数据包的干净视图
现在我运行[A]应用程序,并且视图中几乎只会看到[A]流量

是否有一种较短的方法可以实现这一目标,而无需手动制作所有这些过滤器?
例如将当前视图中的“所有内容”添加到过滤器中 然后我开始[A]独自监视它

1 个答案:

答案 0 :(得分:-1)

您可以转到“数据包细节”窗格,然后右键单击要过滤的一些值,然后使用Wireshark内置的“准备过滤器” /“应用为过滤器”来构建过滤器。

我建议使用更多的白名单过滤(例如“协议== XXX”)而不是黑名单(例如“!(协议== YYY)&&!(协议== ZZZ)”等)。