wireshark如何设置抓包时可以 过滤局域网报文？

看你想抓那种协议的包了或者是特定IP特定端口的包，比如 0x1 ip.addr == xxx.xx.xx.xxx 特定IP的包 0x2 tcp.dstport== xx 目的端口xx的包 0x3 tcp.srcport== xx 源端口为xx的包 0x4 ip.src_host == xx and tcp.srcport==oo 。。。。。。 具体看你想干啥了

【 在 MJ1112 的大作中提到: 】 : 看你想抓那种协议的包了或者是特定IP特定端口的包，比如 : 0x1 ip.addr == xxx.xx.xx.xxx 特定IP的包 : 0x2 tcp.dstport== xx 目的端口xx的包 : ................... 比如抓某个程序产生的包 实现并不知道其使用了那些协议 怎么做呢？

还有总是抓到和192.168.18.1和192.168.18.2的局域网信息 怎么过滤掉啊？ 过滤ip的话 这俩好像是路由的地址吧？ 不会过滤掉正常的包么？

过滤IP

!ip.addr==192.168.18.1 && !ip.addr==192.168.18.2 【 在 MrK 的大作中提到: 】 : 还有总是抓到和192.168.18.1和192.168.18.2的局域网信息 怎么过滤掉啊？ : 过滤ip的话 这俩好像是路由的地址吧？ 不会过滤掉正常的包么？ : -- : ...................

http://wiki.wireshark.org/CaptureFilters 楼主看看这个wiki吧，入个门还行 【 在 MrK (Mr.K) 的大作中提到: 】 : 开wireshark抓包 什么都不干的情况下 总是抓到一些nbns lanman smb 包 看的很乱 : 怎么样写过滤规则 可以抓包是不抓这些局域网报文（不是显示的过滤规则 是抓包的过滤规则）

host xxxx and not arp and not broadcast and not multicast

说说自己的经验,首先想用抓包研究某个程序,最好在虚拟机里做,把虚拟机桥接在网卡上,然后用虚拟机跑程序,在实体机里装wireshark. 因为你的实体机上肯定跑着各种程序,会有很多干扰,而虚拟机上本来运行的东西就少,而且还可以尽量把所有多余的功能全部关掉 然后再用各种条件筛选,筛选时的一个基本原则是定义好源目的地址,都应该是虚拟机的ip地址,这样绝大部分垃圾流量主要是一些他人的广播基本上就不会出现了,看看结果再过滤掉虚拟机可能产生的一些垃圾流量,剩下的基本上就是纯净的了