Los filtros de captura y de visualización tienen objetivos completamente diferentes, mientras los primeros intentan capturar los paquetes de interés, los segundos nos ayudan a enfocarnos en los paquetes de interés dentro de una captura de tráfico.
Los filtros de visualización utilizan una sintáxis diferente a la de los filtros de captura (BPF), esto debido a que para filtrar campos específicos dentro de las cabeceras de los protocolos, se requiere mayor granularidad.
La sintáxis compuesta de los filtros de visualización es la siguiente:
ip == 192.168.0.1
calificador + operador + primitiva
El calificador puede tratarse de un protocolo, campo de la cabecera de un protocolo, o simplemente una característica de un protocolo.
*También podemos usa al protocolo como un filtro en sí.
NOTA: Revisar la "Lista de filtros de visualización" adjunta al inicio de la sección, para conocer diferentes ejemplos de calificadores y operadores.