Wireshark有两种过滤语法：一种是捕捉包时使用，另一种是显示包时使用。本节介绍第二种过滤语法：显示过滤。第一种过滤语法在第 4.8 节 “捕捉时过滤”提到

显示过滤可以隐藏一些你不感兴趣的包，让你可以集中注意力在你感兴趣的那些包上面。你可以用从以下几个方面选择包:

根据协议类型选择数据报，只需要在Filter框里输入你刚兴趣的协议，然后回车开始过滤。???显示了你输入tcp进行过滤后的图。

图 6.5. 用TCP协议过滤

或许你没有注意到，上图显示的已经仅有TCP协议了（从图中可以看到1-10号包已经被隐藏）。因为包的编号是固定不变的，所以第一个包显示的编号是11。

	注意
	当你使用过滤时，所有的包依然保留在捕捉文件里。显示过滤只是更改捕捉文件的显示方式而非内容。

你只能对Wireshark可以识别的协议进行过滤。你也可以对解析器已经添加到树视图的字段进行过滤，但仅限于解析器已经为字段加上了协议缩写的。在Add Expression...对话框可以看到可用的字段列表.详见第 6.5 节 ““Filter Expression/过滤表达式”对话框”

例如：想要限制包列表面板仅显示来自或指向192.168.0.1的包，可以使用ip.addr==192.168.0.

	注意
	点击Clear可以移除过滤