4.5.4 在工具栏中增加显示过滤器 - Wireshark 数据包分析实战（第 3 版） - 知乎书店1

Wireshark是一款强大的网络封包分析软件，常用于网络故障排查、网络安全分析和协议学习。在数据包分析过程中，过滤器是极其重要的工具，能够帮助用户快速定位和筛选出关心的数据包。本节将详细讲解如何在Wireshark的工具栏中添加自定义显示过滤器，以便更高效地进行数据分析。 在Wireshark中，显示过滤器允许用户基于特定的条件筛选数据包列表。若有一些经常使用的过滤器，将其添加到工具栏可以显著提高工作效率。以下是添加自定义显示过滤器的步骤： 1. 在显示过滤器的文本框中输入你要创建的过滤器表达式。例如，如果你经常需要查看带有“RST”标志的TCP包，你可以输入`tcp.flags.rst == 1`。 2. 输入完过滤器表达式后，点击文本框右侧的“+”按钮。这会触发一个新条目的创建过程。 3. 新出现的条目下方有一个“Label”区域，此处你需要为这个过滤器命名。这个名字将作为工具栏中的快捷标签，比如你可以命名为“RST_TCP”。 4. 点击“OK”按钮，这个自定义过滤器的快捷标签就会被添加到工具栏中。现在，只需点击这个标签，就能迅速筛选出符合你设定条件的数据包。 如图4-19所示，添加后的过滤器标签会直观地展示在工具栏上。在图4-20中，我们可以看到，通过“RST_TCP”标签，可以一键过滤出所有具有复位标志的TCP包。 值得注意的是，这些自定义的过滤器标签会保存在用户的个人配置文件中，即使在下次打开Wireshark时，它们依然会被保留。这种功能使得在不同场景下快速切换和应用过滤器变得简单易行，极大地提高了问题诊断的效率。 此外，Wireshark内置了许多预定义的过滤器，这些过滤器可以作为创建自定义过滤器时的参考。用户可以通过查阅Wireshark的帮助文档来了解更多信息。在本书的示例中，过滤器的使用贯穿始终，对于理解和掌握网络通信的细节至关重要。 实时更新数据包列表（Update list of packets in real time）和自动滚动功能（Automatic scrolling in live capture）是Wireshark在实时捕获时的两个重要选项。实时更新确保了数据包列表始终保持最新，而自动滚动则让屏幕自动跟随新的数据包，无需手动操作，这对于持续监控网络流量非常有用。 通过在Wireshark工具栏中添加自定义显示过滤器，用户可以根据自己的需求定制工作环境，提升分析效率，更好地应对各种网络分析任务。