2. 指定过滤器

    要将过滤器应用于嗅探过程，需要在截获数据包之前或之后指定过滤器。要为嗅探过程指定过滤器，并开始截获数据包，可以单击“Capture”选单，选择“Start...”选单项，打开“Capture Options”对话框，单击该对话框中的“Filter:”按钮，然后选择要使用的过滤器，如图3所示。

图3为Wireshark指定过滤器

    注意在“Capture Options”对话框中，“Update list of packets in real time”复选框被选中了。这样可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。 在选择了所需要的过滤器后，单击“确定”按钮，整个嗅探过程就开始了。Wireshark可以实时显示截获的数据包，因此能够帮助网络管理员及时了解网络的运行状况，从而使其对网络性能和流量能有一个比较准确的把握。如图4 。

图4 Wireshark实时显示截获的数据包

Capture Options其他选项：

 Interface（接口）
    这个字段指定在哪个接口进行捕获。这是一个下拉字段，只能从中选择Wireshark 识别出来的接口，默认是第一块支持捕获的非loopback 接口卡。如果没有接口卡，那么第一个默认就是第一块loopback 接口卡。在某些系统中，loopback 接口卡不能用来捕获（loopback 接口卡在Windows平台是不可用的）。

 IP address（IP 地址）
    所选接口卡的IP 地址。如果不能解析出IP 地址，则显示"unknown"

 Link-layer header type（链路层头类型）
    除非你在极个别的情况下可能用到这个字段，大多数情况下保持默认值。

 Buffer size: n megabyte(s) （缓冲区大小：n 兆）
    输入捕获时使用的buffer 的大小。这是核心buffer 的大小，捕获的数据首先保存在这里，直到写入磁盘。如果遇到包丢失的情况，增加这个值可能解决问题。

 Capture packets in promiscuous mode （在混杂模式捕获包）
    这个选项允许设置是否将网卡设置在混杂模式。如果不指定，Wireshark 仅仅捕获那些进入你的计算机的或送出你的计算机的包。(而不是LAN 网段上的所有包).

 Limit each packet to n bytes （限制每一个包为n 字节）
    这个字段设置每一个数据包的最大捕获的数据量。有时称作snaplen 。如果disable 这个选项默认是65535, 对于大多数协议来讲中够了。

 Capture Filter（捕获过滤）
    这个字段指定一个捕获过滤。 “在捕获时进行过滤”部分进行讨论。默认是空的，即没过过滤。也可以点击标为Capture Filter 的按钮, Wireshark 将弹出Capture Filters（捕获过滤）对话框，来建立或者选择一个过滤。