Wireshark作为一个经典老牌的网络抓包分析工具，其2.9.0版是很多用户所喜欢的版本之一，它为为网络工程师，网络架构师，应用工程师，网络顾问和其他IT专业人员的网络故障排除工作提供了强有力的技术支持，是保护，分析和维护高效的网络基础架构的最佳实践教育工具。

【过滤规则介绍】

　　使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

　　过滤器有两种，一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录；一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 下面就来简单说一下过滤规则。

　　1、过滤IP，如来源IP或者目标IP等于某个IP

　　例子:

　　ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

　　或者

　　ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP

　　2、过滤端口

　　例子:

　　tcp.port eq 80 // 不管端口是来源的还是目标的都显示

　　tcp.port == 80

　　tcp.port eq 2722

　　tcp.port eq 80 or udp.port eq 80

　　tcp.dstport == 80 // 只显tcp协议的目标端口80

　　tcp.srcport == 80 // 只显tcp协议的来源端口80

　　udp.port eq 15000

　　过滤端口范围

　　tcp.port >= 1 and tcp.port <= 80

　　3、包长度过滤

　　例子:

　　udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和

　　tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身

　　ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后

　　frame.len == 119 整个数据包长度,从eth开始到最后

　　eth —> ip or arp —> tcp or udp —> data