Networking Wireshark是否过滤所有当前数据包？

假设我想监视[A]应用程序，但它尚未运行
当我启动Wireshark时，它将显示我的网络适配器中发生的一切 然后我像这样过滤这些数据包

(((((((((((((((((((((((((((((((((((((((((((((((((((((((((!(ip.addr == 192.168.2.3) && !(smb2)) && !(ip.addr == 192.168.2.1)) && .....

从括号的数量可以看出我的过滤器有多长
之后，我看到一个几乎没有数据包的干净视图
现在我运行[A]应用程序，在视图中几乎只看到[A]流量

有没有一种更简单的方法可以实现这一点，而无需手动制作所有这些过滤器？
如将当前视图中的“所有内容”添加到过滤器中

---

然后我启动[A]单独监控它

您可以转到数据包详细信息窗格，右键单击您希望筛选的某些值，并使用Wireshark内置的“准备筛选器”/“应用为筛选器”构建筛选器

---

我建议使用更多的白名单过滤（例如“协议==XXX”）而不是黑名单（例如“！（协议==YYY）和&！（协议==ZZZ）”等）。

您实际上想要捕获什么流量？例如，您的应用程序是否通过特定端口进行通信？还是到特定的主机？如果你能在这方面提供更多关于你的应用程序的细节，那么更有可能有人会建议一个比你现在使用的更优化的过滤器。如果你真的需要一个复杂的过滤器，那么还有其他可能的方法来减少它，但在我提供建议之前，我想更好地了解你到底想捕获什么。@ChristopherMaynard我想分析一个新的应用程序，检查它做什么，它使用什么协议，它与哪个服务器通信。因此，我没有相关背景，更具体地说，我想过滤什么，唯一的方法是过滤当前运行的所有内容，然后当我有一个干净的视图时，我启动应用程序来单独监控流量。如果你在Windows平台上，那么你可能更容易使用Wireshark以外的其他工具。我相信Microsoft的[Message Analyzer][1]和/或[Network Monitor][2]工具允许您按进程ID进行筛选。在启动应用程序之前开始捕获，然后从任务管理器的详细信息中查找进程ID。Wireshark可能有一天也会支持这一点，但现在还没有（见Bug 1184[3]）。[1]: [2]: [3]: