假设我想监视[A]应用程序并且它还没有运行 当我启动Wireshark时,它会告诉我网络适配器中发生的一切,然后我像这样过滤这些数据包
(((((((((((((((((((((((((((((((((((((((((((((((((((((((((!(ip.addr == 192.168.2.3) && !(smb2)) && !(ip.addr == 192.168.2.1)) && .....
你可以从括号的数量看到我的过滤器有多长 之后,我看到几乎没有数据包的干净视图 现在我运行[A]应用程序,我将在视图中看到几乎只有[A]流量
有没有一种更短的方法来实现这一点,而无需手动制作所有这些过滤器? 比如将当前视图中的“所有内容”添加到过滤器,然后我开始[A]单独监视它
您可以转到数据包详细信息窗格并右键单击要过滤的某些值,并使用Wireshark内置的“准备过滤器”/“应用为过滤器”来构建过滤器。
我建议使用更多白名单过滤(例如“protocol == XXX”)而不是黑名单(例如“!(protocol == YYY)&&!(protocol == ZZZ)”等)。