第2章　过滤无用的数据包

通过前面的学习，我们已经了解了Wireshark中的基本工作方式。但是又一个重要的问题出现在了我们的面前，在一台连接到互联网的计算机上往往会运行着多个应用程序，在短短的一秒时间里就会产生成千上万的数据包（见图2-1），那么如何才能在其中找到目标数据包呢？这也正是我们在第1章介绍Wireshark使用过程时提到的第3个步骤。

图2-1　在Wireshark中显示的大量数据包

单单依靠肉眼来查找目标数据包也是一种方法，这很像在前一段时间很火的电影《唐人街探案》中天赋异禀的秦风做的那样，使用32倍的速度来同时观看长达7天的两个监控录像，从而找到了案件的真相。不过这是普通人无法做到的，从海量信息中找到自己的目标，难度无异于大海捞针。同样，在我们的网络世界中，无时无刻不在流经不计其数的数据包，想从这些数据包中找到目标，这比起秦风做的事情只会更困难。

好在Wireshark并不是给秦风这种超人设计的，它提供了一些帮助我们找到目标数据包的功能。其中最为高效的就是Wireshark中提供的过滤功能，利用这种过滤机制，Wireshark的使用者就可以轻松地在海量数据中找到自己的目标。其实在实际工作中，对Wireshark过滤器的使用也很能看出一个工作人员的基本功。

接下来我们就来讲解如何从这些流量中找到目标数据包，本章将就以下几点来展开讲解：

•伯克利包过滤的介绍；

•Wireshark中的显示过滤器；

•Wireshark中的捕获过滤器。