大多數情況下，當網絡崩潰或遇到問題時，您必須通過搜索捕獲到的數據包來查找問題。這就是諸如Wireshark之類的工具大顯身手的地方了。它是目前使用最廣泛的網絡協議分析器之一，它分析從網絡TAP（也稱為數據包捕獲設備）或計算機

的NIC發出的文件，并讓您深入了解它們的參數、消息、格式等。

然而，在捕獲網絡線路時會獲得的信息量令人生畏。捕獲如此多的數據包，意味着您最終将得到巨大的捕獲文件。不過幸運的是，Wireshark允許用戶快速過濾這些數據，因此您可以篩選您感興趣的部分，例如某個IP源或目标。您甚至可以比較值、搜索字符串、隐藏不必要的協議等。

下面介紹的過濾器均可用于實時捕獲以及導入的文件，從而使您可以在協議的幾乎任何字段上進行篩選，包括數據流的十六進制值。當然，您要過濾的内容完全取決于您的具體情況和目的。

我們咨詢了我們的工程師，他們最喜歡什麼過濾器以及如何使用它們。以下是一些他們常用的過濾器。

ip.addr == x.x.x.x

為任何以x.x.x.x作為源IP地址或目标IP地址的數據包設置過濾器。假設您要分析特定流量，這将非常有用。應用該過濾器可以幫助您分析傳出流量，查看有哪些數據與您要查找的IP或源相匹配。

您還可以選擇使用ip.dst == x.x.x.x，來僅按目标進行過濾，或者使用ip.src == x.x.x.x，進行按源過濾。

ip.addr == x.x.x.x && ip.addr == x.x.x.x (或者 ip.src == xxxx && ip.dst == xxxx – for a destination)

在兩個特定IP地址之間設置對話過濾器。這可以幫助您檢查兩個特定主機或網絡之間的數據。當您要查找特定數據時，這個過濾器可以提供幫助，所以無需再遍曆其他不感興趣的數據。

http or dns

設置過濾器以顯示所有http和dns協議。它可以縮小所需的确切協議範圍。因此，如果您需要跟蹤某些奇怪的ftp流量，則隻需将其設置為“ftp”。如果想找出為什麼某些網站沒有出現的原因？則隻需要将其設置為“dns”即可。

tcp.port==xxx

為具有特定源或目标端口的TCP數據包設置過濾器。隻查看進出某個特定端口的通信量是非常有用的，也不會耽誤太多時間。

tcp.flags.reset==1

設置過濾器來顯示所有的TCP重置。所有數據包都有一個TCP，如果将其設置為1，它會告訴接收方計算機應立即停止使用該連接。因此，此過濾器是一個強大的過濾器，因為TCP重置會立即終止TCP連接。

tcp contains xxx

該過濾器顯示了包含特定術語（不是xxx，請使用您要查找的術語）的所有TCP數據包。如果您要查找數據包中出現的特定術語，則需要此過濾器。

tcp.stream eq X

跟随tcp流。

tcp.seq == x

按序列号過濾。

tcp.flags.push == 1

對于故障排除很重要，此過濾器可檢測推送事件。

http.request

此過濾器過濾所有HTTP GET和POST請求。它可以顯示訪問量最大的網頁。

!(arp or icmp or dns)

它被設計用來過濾掉某些類型的協議，它屏蔽掉了arp、icmp、dns或其他你認為沒有用的協議。這将使你能集中注意力關注你感興趣的流量。

udp contains xx:xx:xx

它為任意偏移（offset）的特定十六進制值設置過濾器。

dns.flags.rcode != 0

指示無法正确解析哪些dns請求。