Wireshark捕获过滤器与显示过滤器有何区别？

前几天在公司里抓包，老板让我只看HTTP流量，我随手在Wireshark的捕获选项里敲了 port 80，结果一开抓就只剩下HTTP相关的包，省得我在海量数据里翻来翻去。后来同事提醒我，其实还有一种叫显示过滤器的东西，听我这脑袋瓜子一打转，才恍然大悟：原来捕获过滤器和显示过滤器根本不是同一套规则！这事儿让我忍不住想和大家好好聊聊，两者到底长啥样，什么时候该用哪个。

捕获过滤器是什么

捕获过滤器在 Wireshark 启动抓包之前就已经生效，它直接告诉网卡只把符合条件的数据包塞进内存。也就是说，不满足过滤规则的包根本不会被捕获，省掉了磁盘空间和后期的筛选工作。常见的写法像 tcp port 443、host 192.168.1.100，甚至还能组合 and、or、not。我曾在一次大型演练里把捕获过滤器设成 udp and dst port 53，结果抓包文件从 2 GB 缩小到 150 MB，直接省了好几杯咖啡的时间。

显示过滤器是什么

显示过滤器则是抓完包以后才起作用的，它不影响实际的捕获，只是把界面上不想看的数据隐藏起来。用它可以随时切换视角，比如 http.request.method == "GET" 或者 ip.addr == 10.0.0.5 && tcp.flags.syn == 1。我最爱在调试 API 时，用 http contains "login" 把所有登录请求挑出来，原始包仍在，只是被“遮住”了。显示过滤器的表达式更丰富，支持函数、正则甚至颜色规则，几乎可以把任何细节挑出来展示。

两者的核心区别

说白了，捕获过滤器是“先筛后抓”，它在数据离开网卡的那一刻就把不需要的流量扔掉；而显示过滤器是“抓完再筛”，所有流量都进来，只是把界面上不感兴趣的部分隐藏。前者讲求效率，适合对流量规模有硬性限制的场景；后者讲求灵活，适合事后分析、调试细节的需求。记得有一次我把捕获过滤器设得太苛刻，只抓了 port 22，结果后面想看 HTTP 时只能重新抓一次，这教会我：捕获过滤器要慎用，而显示过滤器几乎是必备的“万金油”。

实战小技巧

• 先用宽松的捕获过滤器（比如只限定协议或子网），保证不会漏掉潜在关键包。
• 抓完后立马打开显示过滤器，配合颜色规则，把关注点一目了然。
• 需要临时聚焦时，直接在显示过滤器里敲 tcp.analysis.retransmission，瞬间定位重传包。
• 如果抓包文件太大，先用捕获过滤器把流量压缩到几百 MB，再用显示过滤器细化分析。

总的来说，捕获过滤器和显示过滤器各有千秋，懂得配合使用才能让 Wireshark 真正变成“抓包神器”。这不，下一次再遇到海量流量，我已经在心里排好了套路——先把大门口的守卫交给捕获过滤器，然后让显示过滤器在内部细细挑选。