Le filtrage à postériori permet d'isoler l'information pertinente. La granularité de la syntaxe de filtrage disponible avec Wireshark est très importante. Voici deux exemples assez simples.
Isoler une connexion TCP
Après avoir réalisé une capture, il est possible d'isoler une connexion TCP en repérant, soit la phase d'établissement de connexion, soit la phase de libération de connexion. En cliquant sur le bouton droit de la souris après avoir sélectionné n'importe quelle trame appartenant à la connexion à isoler, il faut valider l'option puis l'option .
A la suite de cette opération, Wireshark ouvre une nouvelle fenêtre contenant les données vues de la couche transport.
Syntaxe du filtrage après capture
Il est possible d'utiliser le champ pour composer un filtre «à façon». Le champ en question peut être rempli manuellement ou de façon interactive en sélectionnant à la souris un élément d'en-tête de protocole. Voici une copie d'écran qui montre comment sélectionner une adresse et un exemple de syntaxe de filtre.
ipv6.addr== 2001:678:3fc:d5::128
&&
ipv6.addr == 2620:0:2d0:200::8 && tcp.dstport
== 80
Cette expression est extraite de la Barre de filtrage. Elle tient sur une ligne unique.
|
|
|
|
|
Exemple d'adresse IP. Les opérateurs utilisables reprennent la syntaxe du langage C pour les tests.
|
|
|
Les opérateurs logiques utilisent eux aussi la la syntaxe du langage C. On peut ajouter des paranthèses pour gérer les priorités.
|
|
|
|
La documentation sur l'ensemble des champs des protocoles reconnus utilisables dans les expressions de filtres d'affichage est disponible à l'adresse : Display Filter Reference.