wireshark

ctrl+f ip.addr == 192.168.0.1 ctrl+n ctrl+f

ip 分片 mtu1500 二层 2000字节呢，分片 大于1500 flags 0x00 分片偏移量

抓包过滤器

src host 192.168.1.1 && dst port 80 抓取地址为192.168.1.1 的 ，目的地址为80的流量
host 192.168.1.1 || host 192.168.1.2 抓取192.168.1.1 和192.168.1.2的流量
! broadcast 不抓取广播包

类型 host net port
方向 src dst
运算符 && and
|| or
！ 非

过滤MAC 地址 ether host 00:88:ca:86:f8:0d
ether src ether host 00:88:ca:86:f8:0d
ether dst ether host 00:88:ca:86:f8:0d
过滤端口案例 port 80
！port 80
dst port 80
src port 80
tcp.port == 80
tcp.srcport == 80
tcp.dstport == 80
tcp.flag.syn ==1

过滤IP 地址

ip.addr ==192.168.1.1
         ip.src == 192.168.1.1
         ip.dst == 192.168.1.1
         ip.src == 192.168.1.1 and ip.dst == 192.168.1.2

过滤协议 arp icmp tcp udp not http not arp

综合过滤 ip.src == 192.168.1.1 and tcp.dstport == 80
ip.addr == 192.168.1.1 and udp.port == 8080

tcp.flags.syn == 1 or tcp.flags.ack ==1

显示过滤器
抓包过滤器 高级的玩法编辑本身的过滤器
高级功能：
数据流追踪tcp udp ssl 流 专家信息 统计 （包统计 字节统计） 协议分层 网络节点会话统计 （能够调整网络策略好比谁的网络带宽占用大） 数据包长度（方便安全分析 小型帧 巨型帧） ARP ICMP DNS IP 图标分析 （ I/O 图标 网络吞吐量） 数据流图 查看网络抖动
wireshark 分析真实的网络流量 分析常见的网络故障 分析常见的安全***