Wireshark cho phép sử dụng các bộ lọc bắt gói tin theo định dạng BPF cũng như các bộ lọc hiển thị để tương tác với các trường được tạo ra bởi các bộ phân tích giao thức. Bộ lọc bắt gói tin theo định dạng BPF trong Wireshark chỉ dùng để bắt dữ liệu. Để dùng một bộ lọc này, chọn Capture -> Options trong menu chính rồi nhấn kép vào giao diện mạng sẽ bắt gói tin, và cuối cùng đặt bộ lọc bắt gói tin và vùng hội thoại Capture Filter (Hình 4.31) và nhấn OK. Bây giờ, khi nhấn Start trên màn hình trước đó, bộ lọc bắt gói tin sẽ chạy và các gói tin không thỏa mãn điều kiện sẽ bị loại bỏ. Trong ví dụ này, thử dùng một bộ lọc để bắt gói tin từ mạng nguồn 192.168.0.0/24 mà không sử dụng cổng 80.
Hình 4.31 Chọn một bộ lọc bắt gói tin
Bộ lọc hiển thị có thể sử dụng bằng cách gõ trực tiếp vào hộp thoại lọc trên phần cửa sổ mô tả các gói. Khi đó Wireshark chỉ hiển thị các gói phù hợp với điều kiện. Khi muốn bỏ bộ lọc thì chỉ cần nhấn Clear. Cũng có thể tạo một bộ lọc nâng cao bằng cách nhấn nút Expression gần với hộp thoại lọc hiển thị (Hình 4.32).
Hình 4.32 Tạo bộ lọc hiển thị với bộ tạo Expression Builder
Hình 4.32 hiển thị biểu thức lọc cho các yêu cầu SessionSetup của giao thức SMB2.
4.1.6 Lọc gói tin
Các bộ lọc hiển thị và bắt gói tin cho phép người dùng chỉ ra các gói tin muốn xem hoặc không muốn xem khi làm việc với một file dữ liệu. Khi phân tích các gói tin, phần lớn thời gian của người phân tích dành cho việc lọc dữ liệu thành các đoạn dữ liệu có giá trị xem xét. Do đó hiểu được về lọc gói tin và cách sử dụng trong các trường hợp khác nhau là rất quan trọng. Phần này sẽ xem xét hai loại cú pháp lọc gói tin là BPF (lọc bắt gói tin) và lọc hiển thị của Wireshark/tshark.