¿Qué significa el filtro de captura en wireshark? ¿Es lo mismo que el filtro de visualización?
Hay dos tipos de filtros en wireshark:
El filtro de visualización es un filtro introducido por wireshark. Es fácil de usar, potente y muchas cosas para filtrar. Tiene forma modular. Por ejemplo, el filtro para mostrar HTTP Post es:
http.request.method=POST
Wireshark carga el paquete primero y luego aplica el filtro de pantalla. Así que se aplica en modo de usuario.
El filtro de captura es un filtro introducido por Libpcap / Winpcap (un controlador para capturar paquetes independientemente del sistema operativo). ¡Es muy restringido y difícil de leer y escribir! No modularidad. Pero, en cambio, se aplica a Libpcap / Winpcap, que significa modo kernel. Por lo tanto, es rápido y evita el uso de la memoria o el almacenamiento, ya que no se captura ningún paquete no deseado.
Los filtros de captura funcionan cuando se está realizando la captura. Le dice a Wireshark qué paquetes capturar y guardar en un archivo pcap.
Los filtros de visualización funcionan en el tráfico de red ya capturado. Es simplemente un filtro que le dice a Wireshark qué paquetes deben mostrarse .