using distributed help text files, instead of "#include" built in texts
[obnox/wireshark/wip.git] / help / display_filters.txt
1 Filtering packets while viewing
2 -------------------------------
3 After capturing packets or loading some network traffic from a file, Ethereal will display the packet data immediately on the screen.
4
5 Using display filters, you can choose which packets should (not) be shown on the screen. This is useful to reduce the "noice" usually on the network, showing only the packets you want to. So you can concentrate on the things you are really interested in. 
6
7 The display filter will not affect the data captured, it will only select for you which packets of the captured data are displayed on the screen.
8
9 Everytime you change the filter string, all packets will be reread from the capture file (or from memory), and processed by the display filter "machine". Packet by packet, this "machine" is asked, if this particular packet should be shown or not.
10
11 Ethereal offers a very powerful display filter language for this. It can be used for a wide range of purposes, from simply: "show only packets from a specific IP address", or on the other hand, to very complex filters like: "find all packets where a special application specific flag is set".
12
13 Note: This display filter language is different from the one used for the Ethereal capture filters!
14
15 -------------------------------------------------
16
17 Some common examples:
18 ---------------------
19 Example Ethernet: display all traffic to and from the Ethernet address 08.00.08.15.ca.fe
20
21 eth.addr==08.00.08.15.ca.fe
22
23 Example IP: display all traffic to and from the IP address 192.168.0.10
24
25 ip.addr==192.168.0.10
26
27 Example TCP: display all traffic to and from the TCP port 80 (http) of all machines
28
29 tcp.port==80
30
31 Examples combined: display all traffic to and from 192.168.0.10 except http
32
33 ip.addr==192.168.0.10 && tcp.port!=80
34
35 Beware: The filter string builds a logical expression, which must be true to show the packet. The && is a "logical and", "A && B" means: A must be true AND B must be true to show the packet (it doesn't mean: A will be shown AND B will be shown). 
36
37 -------------------------------------------------
38
39 Hints:
40 Filtering can lead to side effects, which are sometimes not obvious at first sight. Example: If you capture TCP/IP traffic with the primitive "ip", you will not see the ARP traffic belonging to it, as this is a lower protocol layer than IP!