假设我要监视[a]应用程序,并且尚未运行
当我启动Wireshark时,它将向我展示我的网络适配器中发生的一切因此,我像这样过滤这些数据包
(((((((((((((((((((((((((((((((((((((((((((((((((((((((((!(ip.addr == 192.168.2.3) && !(smb2)) && !(ip.addr == 192.168.2.1)) && .....
您可以从括号的数量中看到我的过滤器多长时间
之后,我看到了几乎没有包装
的干净视图
现在我运行[a]应用程序,我将在视图中看到几乎[a]流量
在不手动制作所有这些过滤器的情况下,有一种较短的方法吗?
喜欢在当前视图中添加"所有事物"到过滤器然后我启动[a]单独监视
您可以转到packet-details窗格,然后右键单击某些值,您希望通过过滤并使用wireshark内置的"准备过滤器"/"应用为滤镜"构建过滤器。
我建议使用更多白色列表过滤(例如"协议== xxx"),而不是黑色列表(例如!(protocol == yyy)&&!(stoloption == zzz)等)。