当你熟悉Wireshark过滤系统,并了解你可以用那些标签进行过滤以后,你可以快速简单地输入过滤字符
但如果你是一个Wireshark新手,或者处理一些相对陌生的协议,你可能很难通过直接输入字符进行过滤。过滤表达式对话框会帮你解决这些问题
![[]](wsug_graphics/Tip.png) | 提示 |
|---|---|
过滤表达式对话框是学习输入表达式的不错的工具。(不知道用不错是不是有点委屈) |
打开上图的对话框以后。将会显示一个按协议类型分组的树分支列表,一个关系选择框。
- Field Name
从协议字段树中选择协议字段。每个可过滤协议都放在第一级。点击+号展开列表,可以获得关于那些协议的可过滤字段。
- Relation
从可用关系列表中选择关系。is present是一元关系,表示如果你选择的字段存在,表达式就为真值。其它关系都为二元关系,需要附加数据(例如:一个值来匹配)来完成。
如果你从字段名列表选择一个字段,并选择一个二元关系(例如等于关系"=="),你可能需要输入值,也有可能是范围信息。
- Value
在此输入合适的配置值,输入的值同样要符合你选择的field name的属性值类型(例如 字符串).
- Predefined values
有些协议字段包含预设值可用,这一点跟C语言中的枚举变量类似。如果选择的协议有这样的值定义,你可以在此选择。
- Range
此处作者留空了
- OK
如果你已经建立好了表达式,点击OK即可创建你的过滤字符串
- Cancel
你可以点击Cancle按钮不做任何修改离开Add Expression。。。对话框。