Wireshark的捕获过滤器

Wireshark的过滤器，顾名思义，作用是对数据包进行过滤处理。具体过滤器包括捕获过滤器和显示过滤器。本文对捕获过滤器进行分析。
捕获过滤器：当进行数据包捕获时，只有那些满足给定的包含/排除表达式的数据包会被捕获。
捕获过滤器使用柏克莱封包过滤器（Berkeley Packet Filter，即BPF），是类Unix系统上数据链路层的一种原始接口，提供原始链路层封包的收发。与其它使用Lipcap(Linux)或者Winpcap(Windows)开发的软件一样，比如著名的TCPdump。
捕捉过滤器必须在开始捕捉前设置完毕，捕捉过滤器的编制语法如下：
Protocol+Direction+type+value+Logical Operations+Other expression
例如：
ip src host 192.168.18.219

如果你的输入语法正确，则背景显示绿色，否则显示红色。
BPF理论详细介绍，参考：
http://www.tcpdump.org/manpages/pcap-filter.7.html，
实例参考：
https://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html
简单说明
1.类型Type: host、net、port
2.方向Dir: src、dst
3.协议Proto: ether、ip、tcp、udp、http、ftp
4.逻辑运算符： &&与、||或、！非
常用捕获过滤器，可以通过“管理捕获过滤器”，进行管理。

打开过滤器的管理界面，左面部分为过滤器，右面为过滤器表达式。可以双击选中过滤器来编辑，并修改捕获过滤表达式。同时可以对过滤器进行删减。