[Wireshark](https://links.jianshu.com/go?to=https%3A%2F%2Fso.csdn.net%2Fso%2Fsearch%3Fq%3DWireshark%26spm%3D1001.2101.3001.7020)的世界里有2种过滤器，分别是捕获过滤器和显示过滤器。

采用恰当的过滤器，不但能提高数据分析的灵活性，而且能让分析者更快看到自己想要的分析对象。

BPF(Berkeley Packet Filter)全称为伯克利包过滤,是一种功能非常强大的过滤语法.这个语法被广泛应用于多种数据包嗅探软件,因为大部分数据包嗅探软件都依赖于使用BPF的libpcap/WinPcap库.诸如tcpdump,wireshark等等。

捕获过滤器：wireshark 仅捕获过滤器设置的数据，其它数据不收集，用于定向分析问题。

显示过滤器：wireshark 对已经捕获的数据，进行显示设置。只是不显示的数据还是在内存中的，修改显示过滤器就可以显示出来，不适合大流量的场景。

注意：捕获过滤器/抓包过滤器 与 显式过滤器 的语法并不一样。

捕获过滤器语法规则 BPF（Berkeley Packet Filter），使用 google 搜索 "BPF 语法" 能搜索到很多相关内容。

显示过滤器是对已经抓取的数据，进行显示过滤设置。语法是 wireshark 自己的语法，可以使用 wireshark 辅助生成过滤表达式。

捕获过滤器

显示过滤器

WireShark DisplayFilter Examples

https://zhuanlan.zhihu.com/p/45185666

Wireshark基础使用和表达式语法

https://blog.csdn.net/qq_35634181/article/details/105294265

Chapter 6. Working With Captured Packets

https://www.wireshark.org/docs/wsug_html_chunked/ChapterWork.html

Wireshark入门与进阶系列之常见捕获过滤器

https://blog.csdn.net/qq_29277155/article/details/52077239

BPF过滤规则

https://staight.github.io/2018/07/25/BPF过滤规则/

     ===========================
    【来源： 简书】
    【作者： Bogon】
    【原文链接】 https://www.jianshu.com/p/f6de5390a444
    声明：转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益，请作者持权属证明与本网联系，我们将及时更正、删除，谢谢。