如何用wireshark解决实际问题

合集下载

wireshark使用心得

wireshark使用心得（实用版4篇）目录（篇1）I.Wireshark简介1.Wireshark的历史和发展2.Wireshark的主要功能和特点II.Wireshark的使用方法和技巧1.安装和配置Wireshark2.如何捕获网络数据包3.如何分析数据包4.Wireshark的高级功能和技巧III.Wireshark的应用场景和案例分析1.网络故障排查2.网络流量分析3.网络安全监控4.数据分析与挖掘正文（篇1）Wireshark是一款广受欢迎的网络数据包分析工具，它能够捕获、分析和显示网络数据包，帮助用户深入了解网络行为和流量特征。

以下是使用Wireshark的心得体会。

I.Wireshark简介Wireshark是一款开源的网络数据包分析工具，支持多种网络协议，如TCP、UDP、HTTP等。

它提供了实时数据包捕获、过滤、分析和图形显示等功能，能够帮助用户快速定位网络故障、进行网络流量分析和安全监控等任务。

II.Wireshark的使用方法和技巧1.安装和配置Wireshark：首先需要在计算机上安装Wireshark，并确保正确配置了网络接口和协议。

在安装过程中，可以自定义过滤器选项，以便更好地满足分析需求。

2.如何捕获网络数据包：要捕获网络数据包，需要开启Wireshark并选择正确的网络接口。

可以通过手动设置过滤器来过滤掉不需要的数据包，提高分析效率。

3.如何分析数据包：Wireshark提供了直观的数据包分析界面，可以查看数据包的详细信息，如源地址、目的地址、协议类型等。

此外，还可以通过拖拽和过滤器等方式对数据包进行快速筛选和分析。

4.Wireshark的高级功能和技巧：Wireshark还支持一些高级功能，如实时流量分析和数据包捕获、离线数据分析、多网卡绑定等。

熟练掌握这些功能，能够更好地满足不同的分析需求。

III.Wireshark的应用场景和案例分析1.网络故障排查：Wireshark可以帮助用户快速定位网络故障的原因，如网络连接问题、网络设备故障等。

wireshark教程

wireshark教程Wireshark是一款用于网络分析的开源工具，可以帮助用户捕获和分析网络数据包。

它支持多种操作系统，包括Windows、Mac OS和Linux。

首先，打开Wireshark软件。

在启动界面上，选择网络接口，该接口将被用于捕获网络数据包。

然后点击“开始”按钮开始捕获数据包。

捕获过程中，Wireshark会显示捕获的数据包列表。

你可以通过点击这些数据包来查看其详细信息。

Wireshark提供了多种过滤器，使用户可以快速定位自己感兴趣的数据包。

在捕获和分析数据包时，你可能会遇到一些常见的问题。

比如，发现网络延迟较高，或者某些应用程序出现了异常。

在这种情况下，你可以使用Wireshark来分析数据包，找出问题所在。

通过Wireshark可以了解到网络通信的流量和协议信息，你可以查看源和目标IP地址、源和目标端口、协议类型等。

Wireshark还提供了一些高级功能，如统计功能和导出功能。

通过统计功能，你可以获得关于网络流量、协议使用和网络连接的统计信息。

通过导出功能，你可以将分析结果保存为文件，以备后续使用或共享。

当然，Wireshark还支持一些高级功能，如插件和脚本。

插件可以扩展Wireshark的功能，提供更多的协议支持和分析选项。

脚本可以自动执行一些任务，如自动过滤数据包或执行一些自定义操作。

在使用Wireshark时，你需要注意几个方面。

首先，Wireshark可以捕获网络上的所有数据包，包括敏感信息，因此请确保在合法的网络环境下使用。

另外，由于数据包会占用大量的存储空间，因此请适当选择需要捕获的数据包，并定期清理捕获文件。

最后，需要指出的是，Wireshark不仅仅是一个网络分析工具，它还可以用于网络安全测试和故障排查。

通过分析网络数据包，用户可以发现潜在的安全漏洞和故障原因，并采取相应的措施来解决问题。

希望这篇简要的Wireshark教程对你有所帮助！。

Wireshark网络抓包分析技巧

Wireshark网络抓包分析技巧网络抓包是计算机网络中常用的一种分析技术。

它可以用来捕获网络数据包，进行深入分析，了解网络传输中的各种细节。

Wireshark是一款开源、跨平台的网络抓包分析软件，具有强大的功能和灵活的扩展性。

本文将介绍Wireshark网络抓包分析技巧，并结合实例进行详细讲解。

一、Wireshark基本操作1.安装Wireshark：从官方网站下载并安装Wireshark。

2.启动Wireshark：启动后，选择需要抓包的网络接口（例如，本地网卡）。

Wireshark便开始进行抓包操作。

3.过滤抓到的数据包：Wireshark支持将抓取到的数据包进行过滤，只保留我们需要的数据包。

可以通过命令行或GUI界面的过滤器，来实现对数据包的过滤。

4.保存数据包：将抓到的数据包保存到本地磁盘中，以便后续分析。

5.多种图形化显示：Wireshark支持多种图形化界面，例如流图，I/O图等，来对抓到的数据包进行可视化分析。

二、常用Wireshark功能1.协议分析：Wireshark支持常见协议分析，例如TCP、UDP、HTTP等。

2.流量分析：Wireshark可以对抓到的数据包进行统计和分析，包括流量的大小、流量的源和目的地等。

3.时间线分析：Wireshark支持对抓到的数据包进行时间线分析，可以方便地定位网络问题和故障。

4.嗅探网络流量：Wireshark可以嗅探网络流量，得到抓包数据后，可以分析网络通讯过程的每个细节。

5.深入了解网络问题：通过分析网络流量，可以找出网络问题的根源，并能够帮助解决网络故障。

三、常见实例演示1.抓取HTTP请求：如下图所示，我们通过Wireshark抓取到浏览器发送的HTTP请求。

通过分析数据包的内容，我们可以了解每个HTTP请求的详细信息，例如请求头、请求体、响应头等。

2.查找网络故障：如下图所示，我们使用Wireshark来查找网络故障。

通过分析数据包的内容，我们可以发现某些数据包的响应时间过长，从而找出网络故障的根源。

wireshark基本使用方法

wireshark基本使用方法Wireshark基本使用方法Wireshark是一种开源的网络协议分析工具，它能够帮助我们捕获和分析网络流量。

本文将介绍Wireshark的基本使用方法，包括捕获流量、过滤数据包和分析协议等方面。

一、捕获流量Wireshark可以在计算机上捕获网络流量，并将其显示在界面上。

要开始捕获流量，我们首先需要选择一个网络接口。

在Wireshark 的主界面上，可以看到一个接口列表，列出了计算机上所有可用的网络接口。

我们可以选择其中一个接口，然后点击“开始捕获”按钮来开始捕获流量。

在捕获过程中，Wireshark将会实时显示捕获到的数据包。

每个数据包都包含了一些基本信息，如源IP地址、目的IP地址、协议类型等。

我们可以点击每个数据包来查看详细信息，包括数据包的结构、各个字段的取值等。

二、过滤数据包Wireshark可以根据我们的需要来过滤显示的数据包。

在主界面的过滤器栏中，我们可以输入一些过滤条件来筛选数据包。

例如，我们可以输入“ip.addr==192.168.1.1”来只显示源或目的IP地址为192.168.1.1的数据包。

我们也可以使用逻辑运算符来组合多个过滤条件，例如“ip.addr==192.168.1.1 && tcp.port==80”表示只显示源或目的IP地址为192.168.1.1且目的端口为80的数据包。

通过过滤数据包，我们可以更加方便地查看我们所关心的流量。

如果我们只对某个特定的协议感兴趣，可以使用协议过滤器来只显示该协议的数据包。

例如，我们可以使用“http”过滤器来只显示HTTP协议的数据包。

三、分析协议Wireshark可以帮助我们分析各种网络协议。

在Wireshark的主界面上，我们可以看到捕获到的数据包中的协议类型。

我们可以点击某个数据包，然后在详细信息中查看该数据包所使用的协议。

Wireshark支持解析众多的协议，包括TCP、UDP、HTTP、DNS 等。

wireshark案例

wireshark案例
Wireshark是一个强大的网络协议分析器，可用于抓取和分析网络流量。

以下是一个使用Wireshark进行网络故障排查的案例：
某公司网络出现故障，内部员工无法访问外部网站，但内部服务器和应用程序仍可正常访问。

为了解决这个问题，网络管理员使用Wireshark进行抓
包分析。

首先，管理员将Wireshark部署到公司网络中的一台交换机上，并配置过
滤器以仅捕获目标IP地址的流量。

然后，管理员开始捕获数据包并观察流
量情况。

通过分析捕获的数据包，管理员发现所有出站流量（即从公司内部访问外部网站的流量）都被丢弃了。

进一步检查发现，丢弃流量的目标IP地址是一
个防DDoS攻击的第三方服务器的IP地址。

管理员联系了该第三方服务器提供商，询问他们是否阻止了来自公司的流量。

提供商证实他们确实阻止了来自公司的流量，因为他们认为公司遭受了DDoS攻击。

为了解决这个问题，管理员提供了公司的IP地址和证明公司遭受DDoS攻击的证据。

提供商核实后解除了对公司的流量限制，并恢复了公司的网络访问。

通过使用Wireshark进行抓包分析，管理员能够快速定位问题并找到解决方案。

这避免了长时间的故障排查和潜在的业务中断。

Wireshark使用教程详解带实例

Wireshark使用教程详解带实例Wireshark是一款开源网络分析工具，它能够捕获和分析网络流量，使用户能够深入了解网络通信过程中发生的问题和异常。

本文将详细介绍Wireshark的使用方法，并通过实例演示其在网络故障排除和网络性能优化中的应用。

一、Wireshark安装和准备工作二、捕获和过滤数据包Wireshark具有强大的过滤功能，可以根据多种条件过滤所捕获的数据包，以减少不必要的数据包显示。

在捕获界面的过滤栏中输入过滤表达式，如“ip.addr==192.168.0.1”以显示所有源或目标IP地址为192.168.0.1的数据包。

三、分析数据包1. 分析摘要面板（Summary）摘要面板显示了捕获数据包的概要信息，如协议、源和目标地址、数据包大小等。

通过查看该面板可以迅速了解网络通信中所使用的协议和各个数据包的交互情况。

2. 分层面板（Packet List）分层面板以树状结构显示了选定数据包的详细信息。

它将数据包分为各个协议层次，并展开显示每个层次的具体字段信息。

用户可以展开或折叠每个协议层次，以查看其所包含的字段详细信息。

3. 字节流面板（Bytes）字节流面板以十六进制和ASCII码显示了选定数据包的原始数据内容。

用户可以通过该面板查看数据包的详细内容，并进一步分析其中的问题。

4. 统计面板（Statistics）统计面板提供了关于捕获数据包的各种统计信息。

用户可以查看每个协议的数据包数量、平均包大小、传输速率等。

此外，Wireshark还提供了更高级的统计功能，如流量图表、分析数据包时间间隔等。

四、实例演示为了更好地说明Wireshark的使用方法，我们将以现实应用场景为例进行实例演示。

假设我们在一个企业内部网络中发现了网络延迟问题，我们希望通过Wireshark来定位问题的根源。

首先打开Wireshark并选择要监听的网络接口，然后开始捕获数据包。

在捕获过程中，我们注意到在与一些服务器的通信中出现了较长的延迟。

wireshark小技巧

wireshark小技巧
Wireshark是一个功能强大的网络协议分析工具，它可以帮助
用户捕获和分析网络数据包。

以下是一些使用Wireshark的小技巧：
1. 过滤数据包，Wireshark可以捕获大量的数据包，使用过滤
器可以帮助你只显示你感兴趣的数据包。

例如，你可以使用过滤器
来只显示特定IP地址的数据包，或者只显示特定协议的数据包。

2. 统计功能，Wireshark提供了各种统计功能，可以帮助你分
析数据包的流量、响应时间、错误率等。

这些统计信息可以帮助你
更好地理解网络的性能和运行情况。

3. 流分析，Wireshark可以帮助你重组TCP和UDP数据流，这
样你就可以更好地分析数据包之间的关系，以及应用层协议的行为。

4. 导出数据，Wireshark可以将捕获的数据包导出为其他格式，比如文本文件或者CSV文件。

这样你就可以进一步分析数据包，或
者与其他工具进行集成分析。

5. 使用颜色过滤，Wireshark可以根据数据包的特征自动给数
据包标上颜色，比如错误的数据包可以标记为红色，这样可以帮助你更快速地发现问题。

6. 使用快捷键，Wireshark提供了许多快捷键，可以帮助你更高效地操作，比如快速过滤数据包、切换视图等。

希望以上的小技巧可以帮助你更好地使用Wireshark进行网络数据包分析。

Wireshark网络分析

Wireshark网络分析网络分析是网络工程师和安全专家必须掌握的重要技能之一。

网络分析是通过对发送和接收网络数据流的监控来识别问题和性能瓶颈的过程。

Wireshark是一款开源的网络协议分析器，它能够捕获和分析通过网络传输的数据包。

在本文中，我们将深入探讨如何使用Wireshark进行网络分析。

捕获数据包Wireshark能够捕获数据包，以便分析网络流量。

要捕获数据包，需要在Wireshark中选择网络接口，并开始捕获。

在捕获过程中，Wireshark将保存每个数据包的详细信息，包括源地址，目标地址，协议类型和数据内容。

分析数据包一旦捕获了数据包，Wireshark就能够提供各种有用的信息，包括应用程序协议栈、网络拓扑图、分析趋势和用于过滤数据包的过滤器。

应用程序协议栈Wireshark可以根据协议类型和端口号，识别出应用程序协议栈。

用户可以方便地查看和分析TCP、UDP、HTTP、DNS等协议的数据包信息。

网络拓扑图使用Wireshark，用户还可以绘制出网络拓扑图，以显示整个网络中的计算机、路由器和其他设备之间的连接。

从拓扑图中，用户可以看到设备之间的通信路径，以及网络中存在的任何瓶颈或故障。

分析趋势Wireshark还提供了一些实用的工具，用于分析数据包的趋势。

用户可以使用这些工具，查看网络中发送和接收的数据包数量、字节数和传输速度等信息，以便找出网络中的性能瓶颈。

过滤数据包最后，Wireshark还提供了一种灵活的数据包过滤机制，以便用户可以只查看特定类型的数据包。

用户可以根据源地址、目标地址、协议类型、端口号和数据包内容等进行过滤，以获得特定的数据包信息。

结论网络分析是网络工程师和安全专家必须掌握的技能之一。

Wireshark是一款出色的网络协议分析器，它提供了捕获和分析网络数据包的功能。

使用Wireshark，用户可以方便地查看和分析网络中的数据包，获得有关网络性能和安全的有用信息。

wireshark教程

wireshark教程Wireshark教程Wireshark是一个开源的网络协议分析工具，它能够在网络中捕获数据包，并通过分析这些数据包来帮助用户了解和解决网络问题。

本文将介绍Wireshark的基本功能和使用方法，以及一些常见的应用场景。

一、Wireshark的安装首先，您需要从Wireshark官方网站（https:///）下载并安装Wireshark。

Wireshark可用于Windows、Mac和Linux操作系统。

安装完成后，您可以启动Wireshark并开始使用。

二、Wireshark的界面Wireshark的界面相对复杂，但通过了解每个区域的功能，您将能够更好地利用它。

以下是Wireshark界面的主要组成部分：1. 菜单栏：包含Wireshark的各种功能选项，例如打开文件、保存捕获的数据包等。

2. 捕获面板：用于选择要捕获的网络接口和开始/停止捕获。

3. 数据包列表：显示捕获到的数据包的详细信息，例如源IP地址、目标IP地址、协议类型等。

4. 数据包细节：显示选定数据包的详细信息，例如每个协议层的字段和值。

5. 过滤器：用于过滤数据包，以便只显示用户感兴趣的数据包。

6. 统计面板：提供网络流量统计、协议分布等信息。

7. 此外，Wireshark还提供了很多其他的工具和功能，例如实时图表、包含过滤器的自动化任务等。

三、捕获数据包使用Wireshark捕获数据包是解决网络问题和分析网络流量的首要步骤。

要捕获数据包，您可以按照以下步骤操作：1. 在捕获面板选择要监控的网络接口。

如果不确定应该选择哪个接口，可以选择“任何”。

2. 点击“开始”按钮开始捕获数据包。

3. Wireshark将立即开始捕获数据包并显示在数据包列表中。

四、分析数据包一旦您捕获到足够的数据包，您可以开始分析这些数据包以获取有用的信息。

以下是一些常见的数据包分析方法：1. 查看每个数据包的详细信息：通过双击数据包列表中的特定数据包，您可以查看分析该数据包的详细信息。

12网络分析系列之十二_使用wireshark分析数据包的技巧

12网络分析系列之十二_使用wireshark分析数据包的技巧Wireshark是一款开源的网络分析工具，它可以捕获和分析网络流量中的数据包。

使用Wireshark可以帮助我们深入了解网络通信过程中的细节，并且可以帮助我们解决一些网络故障。

在本文中，我们将介绍使用Wireshark进行数据包分析的一些技巧。

2. 选择网络接口：打开Wireshark后，我们需要选择要捕获数据包的网络接口。

在主窗口的左上角下拉菜单中，我们可以看到可用的网络接口列表。

选择我们想要捕获数据包的网络接口，并点击“开始捕获”按钮。

4. 分析捕获的数据包：当我们捕获到一些数据包后，我们可以开始分析它们。

在Wireshark的主窗口中，我们可以看到每个数据包的详细信息，如发送方和接收方的IP地址、端口号、协议类型等。

5. 统计分析：Wireshark还提供了一些统计工具，可以帮助我们更好地了解数据包的性能和行为。

点击主窗口中的“统计”选项卡，我们可以看到各种统计信息，如数据包数量、传输速率、协议分布等。

6. 解析应用层协议：Wireshark能够解析各种应用层协议，如HTTP、FTP、DNS等。

我们可以点击主窗口中的相应数据包，然后在下方的详细信息栏中查看协议解析结果。

这些解析结果可以帮助我们更好地理解应用层协议的行为和交互过程。

7. 导出数据包：有时候，我们可能需要将捕获的数据包导出到其他工具进行分析。

Wireshark允许我们将数据包以不同的格式导出，如pcap、CSV等。

我们可以通过点击主窗口中的“文件”选项，并选择“导出指定数据包”来进行导出操作。

8. 使用过滤器提取特定数据：Wireshark提供了一种叫做“显示过滤器”的功能，可以帮助我们从捕获的数据包中提取出我们关心的特定数据。

使用过滤器，我们可以只显示符合特定条件的数据包。

例如，我们可以使用过滤器“ip.addr == 192.168.1.1”来只显示与IP地址为192.168.1.1相关的数据包。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

如何用wireshark解决实际问题目录1. Wireshark显示环境的设置 (1)1.1 设置显示列的源和目的端口增加包显示的可读性 (1)1.2 调整包的显示 (4)1.3 设置时间显示格式 (5)1.4 添加过滤表达式标签 (5)1.5 添加协议的解析端口 (7)1.6 强制解析数据包包为某种协议 (10)2. 抓包的捕捉过滤 (13)2.1 捕捉过滤的语法 (13)2.1.1 过滤arp消息 (15)2.2 过滤sip呼叫的信令和rtp流的包 (16)2.3 ！的用法 (17)3. 显示过滤 (18)3.1 过滤某一网段端 (20)3.2 按照偏移量来过滤 (20)3.3 过滤ip段 (21)3.4 按照packet detail里的具体的字段进行过滤 (22)4. 抓包分析举例 (24)4.1 网管中某个基站不在线 (24)4.1.1 用ctrl+f进行查找 (25)4.1.2 用packet detail里的字段进行查找 (26)4.2 分析基站网管的基站的数据不能同步 (28)4.3 Sip通话软件单通 (29)1.Wireshark显示环境的设置1.1设置显示列的源和目的端口增加包显示的可读性我们可以设置wireshark的显示的列字段，增加包的可读性如我们增加数据包源端口和目的端口，这样可以一目了然，知道是从哪里发的包。

方法菜单edit→preferences→user interface→columns→add对具体的字段field type进行选择，显示名称标题title进行修改点应用apply后，显示的内容增加，然后在显示界面调整显示的次序1.2调整包的显示调整各个字段的显示方式，显示的靠边，居中，靠右，列的宽度等内容1.3设置时间显示格式这样就添加了数据包显示时的源和目的端口，便于我们定位问题1.4添加过滤表达式标签可以在过滤器旁边添加常用过滤表达式，便于分析操作这样可以方便我们过滤出自己想要的内容。

1.5添加协议的解析端口增加协议使用的非标准端口，这样可以使使用非标准端口的包解析为标准的协议如http使用默认是80端口，但用户有时定义的端口为8080，这样就可以直接解析出8080的内容为http协议。

如图：我们自己的编写的tomcat的应用程序使用的是8080端口作为http服务器监听端口，但抓包中显示的协议确实tcp我们可以在edit→preferences→protocal里找到对应的http协议添加对应解析端口，实现对8080端口的解析1.6强制解析数据包包为某种协议也可以把使用非标准端口的包解析为某协议如我们的网管程序使用了2121端口作为ftp服务器的监听端口，但ftp默认的端口是21，这样就无法解析成ftp协议，不便于分析信令。

我们可以使用收到解析的方法，把某个包解析为某种协议。

选中对应端口的行，右键一点，菜单中选择decode as解析后的包协议转换为ftp2.抓包的捕捉过滤2.1捕捉过滤的语法抓包的数据量很大，很多与我们的需要无关，为了减少数据的捕捉量，我们使用预过滤功能，在开始抓包过滤掉与我们需要无关的内容。

语法：例子：tcp dst10.1.1.180and3128Protocol（协议）:可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果没有特别指明是什么协议，则默认使用所有支持的协议。

Direction（方向）:可能的值: src, dst, src and dst, src or dst如果没有特别指明来源或目的地，则默认使用"src or dst" 作为关键字。

例如，"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。

Host(s):可能的值：net, port, host, portrange.如果没有指定此值，则默认使用"host"关键字。

例如，"src 10.1.1.1"与"src host 10.1.1.1"相同。

value 当字段为host时，host后面的值为ip地址，当为port 时为端口号，当为ether host 时为对应的mac地址Logical Operations（逻辑运算）:可能的值：not, and, or.否("not")具有最高的优先级。

或("or")和与("and")具有相同的优先级，运算时从左至右进行。

例如，"not tcp port 3128 and tcp port 23"与"(not tcp port 3128) and tcp port 23"相同。

"not tcp port 3128 and tcp port 23"与"not (tcp port 3128 and tcp port 23)"不同2.1.1过滤arp消息我们要过来和arp协议并且和192.168.10.2相关的所有消息，就用这样的语句arp && ether host 70:ba:ef:e3:5e:12会过滤出所有arp协议的包而且源和目的mac含有70:ba:ef:e3:5e:12消息的包过滤某一主机的所有的包如：host 18.250.0.312.2过滤sip呼叫的信令和rtp流的包如：Sip协议走udp承载，一般默认端口是5060，rtp也走udp承载，一般的端口范围是10000到65535udp port 5060 || (udp src portrange 10000-65535 && udp dst portrange 10000-65535)如上图显示，会有其他的udp包混入，但不会太多，主要是sip和rtp包注意不能使用大于，小于，等于比较运算符表达式，如host > 18.250.0.1,这是错误的表示语句错误2.3！的用法要排除某一个协议或者端口可以用！协议，！端口等语句如若抓包中，我们要sip和rtp包，也可用下面的语句进行过滤(!udp dst port 137)&&(! udp dst port 138)&&!tcp &&! arp &&(!( udp dst port1900))&&!sctp&&(!(udp src port 1900))&&(!udp dst port 137)3.显示过滤显示过滤可以执行过滤语句显示出我们需要的包语法：例子：ftppassiveip==10.2.3.4xor icmp.typeProtocol（协议）:您可以使用大量位于OSI模型第2至7层的协议。

点击"Expression..."按钮后，您可以看到它们。

比如：IP，TCP，DNS，SSHComparison operators （比较运算符）:可以使用6种比较运算符：Logical expressions（逻辑运算符）:被程序员们熟知的逻辑异或是一种排除性的或。

当其被用在过滤器的两个条件之间时，只有当且仅当其中的一个条件满足时，这样的结果才会被显示在屏幕上。

让我们举个例子："tcp.dstport 80 xor tcp.dstport 1025"只有当目的TCP端口为80或者来源于端口1025（但又不能同时满足这两点）时，这样的封包才会被显示。

例子：snmp || dns || icmp显示SNMP或DNS或ICMP封包。

ip.addr == 10.1.1.1显示来源或目的IP地址为10.1.1.1的封包。

(!(ip.dst==10.1.2.3)) or (!(ip.src==10.4.5.6))注意：不能使用ip.addr！＝ｘ．ｘ．ｘ．ｘ这样的语句，过滤栏会出现黄色，提示语句不起效果，过滤无效显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。

换句话说，显示的封包将会为：来源IP：除了10.1.2.3以外任意；目的IP：任意以及来源IP：任意；目的IP：除了10.4.5.6以外任意tcp.port == 25显示来源或目的TCP端口号为25的封包。

tcp.dstport == 25显示目的TCP端口号为25的封包。

tcp.flags显示包含TCP标志的封包。

tcp.flags.syn == 0x02显示包含TCP SYN标志的封包。

如果过滤器的语法是正确的，表达式的背景呈绿色。

如果呈红色，说明表达式有误。

表达式正确表达式错3.1过滤某一网段端按某一网段显示ip.addr==18.250.0.0/243.2按照偏移量来过滤如按照mac地址的前三个字节来过滤eth.dst[0:3]==00:0e:5e3.3过滤ip段过滤某一ip段的包ip.addr>=18.250.0.1 && ip.addr<= 18.250.0.200或者mac地址段(eth.addr>=00:0e:5e:00:00:00) && (eth.addr<=00:0e:5e:ff:ff:ff)3.4按照packet detail里的具体的字段进行过滤可以展开packet detail，按照其中显示的字段进行标上颜色或者过滤展开sip协议header，找到call-id然后右键一点，弹出的菜单中找clorize with filter 对符合协议的包进行标红也可以用选中的字段，右键菜单中prepare as filter4.抓包分析举例抓到包后，需要根据包进行分析，解决我们的实际的问题，下面列举几个例子，说明是如何利用wireshark解决问题的。

4.1网管中某个基站不在线首先打开抓包，然后在cmd下，执行arp –d，执行ping包，看能否ping通。

数据发包过程，首先检查目的ip是否和本机ip在同一网段，是同一网段的话，检查是否有目的ip的mac地址，没有的话，发arp广播消息请求mac地址，目的ip回复后，ping消息发出。

有ping的回复，证明设备的ip层是通的，检查其上的应用层是否加载。

抓包如下：如基站18.250.0.31不在线，停止抓包后，过滤arp||icmp出现大量的抓包，为了快速找到我们需要的arp请求消息，我们有两种方法，4.1.1用ctrl+f进行查找我们使用CTRL+F,查找18.250.0.31这个字符串或者十六进制12FA001F这个值同样我们可以按16进制查找同样有arp的回复和ping的回复，证明设备ip层是通的。