常用快捷键:
Ctrl-F: 打开Find Packet窗口
Ctrl-N: 下一个匹配的数据包
Ctrl-B: 上一个匹配的数据包
Ctrl-M: 标记选中的数据包/取消标记
Shift-Ctrl-N: 下一个已标记的数据包
Shift-Ctrl-B: 上一个已标记的数据包
Ctrl-T: 设定当前数据包为相对参考
捕获过滤器表达式(BPF语法)
一个表达式包含: n个原语 + 操作符 (n可以为1)
一个原语包含: n个限定词 + ID/数字 (一个ID/数字的例子,IP/Port)
BPF限定词,如下表:
| 限定词 | 说明 | 例子 |
| Type | ID/数字所代表的意义 | host,net,port |
| Direction | 表示数据包的方向,源或目的 | src,dst |
| Protocol | 协议 | ether,ip,tcp,udp,http,ftp |
操作符包括: 与或非(&&,||,!)
一个综合的例子: dst host 192.168.0.10 && tcp port 80
显示过滤器
支持的比较操作符: ==,!=,>,<,>=,<=
支持的逻辑操作符: and,or,xor,not
常用的显示过滤器(来自Wireshark数据包分析实战)
| 过滤器 | 说明 |
| !tcp.port==3389 | 排除RDP流量 |
| tcp.flags.syn==1 | 具有SYN标志位的TCP数据包 |
| tcp.flags.rst==1 | 具有RST标志位的TCP数据包 |
| !arp | 排除ARP流量 |
| http | 所有HTTP流量 |
| tcp.port==23 || tcp.port ==21 | Telnet/FTP |
| smtp || pop || imap |