Wireshark фильтрует все текущие пакеты?

Question

Допустим, я хочу отслеживать [A] приложение, и оно еще не запущено
Когда я запускаю Wireshark, он покажет мне все, что происходит в моем сетевом адаптере, поэтому я фильтрую эти пакеты следующим образом

(((((((((((((((((((((((((((((((((((((((((((((((((((((((((!(ip.addr == 192.168.2.3) && !(smb2)) && !(ip.addr == 192.168.2.1)) && .....

Вы можете видеть из количества скобок, как долго мой фильтр
, после этого я вижу чистый вид без пакетов
Теперь я запускаю приложение [A] и вижу почти только трафик [A] вПредставление

Есть ли более короткий путь для достижения этой цели без создания всех этих фильтров вручную?
как добавить в фильтр «все» в текущем представлении, затем я запускаю [A], чтобы контролировать его самостоятельно

Answer 1

Вы можете перейти на панель сведений о пакетах и ​​щелкнуть правой кнопкой мыши по значению / значениям, по которым вы хотите фильтровать, и использовать встроенные в Wireshark «Подготовить фильтр» / «Применить как фильтр» для создания фильтра.

Я бы предложил использовать больше фильтрации белого списка (например, «protocol == XXX») вместо черного списка (например, «! (Protocol == YYY) &&! (Protocol == ZZZ)» и т. Д.).