經典的開源的網絡抓包工具 Wireshark 相信大部分人（或者搞過網絡）的人都知道它，用過的人基本了解它的強大功能。

1、數據包過濾

a. 過濾需要的IP地址 ip.addr==

b. 在數據包過濾的基礎上過濾協議ip.addr==xxx.xxx.xxx.xxx and tcp

c. 過濾端口ip.addr==xxx.xxx.xxx.xxx and http and tcp.port==80

d. 指定源地址 目的地址ip.src==xxx.xxx.xxx.xxx and ip.dst==xxx.xxx.xxx.xxx

e. SEQ字段（序列號）過濾（定位丟包問題）

TCP數據包都是有序列號的，在定位問題的時候，我們可以根據這個字段來給TCP報文排序，發現哪個數據包丟失。

SEQ分為相對序列號和絕對序列號，默認是相對序列號顯示就是0 1不便于查看，修改成絕對序列號方法請參考第三式。

2、修改數據包時間顯示

有些同學抓出來的數據包，時間顯示的方式不對，不便于查看出現問題的時間點，可以通過View---time display format來進行修改。

修改前：

修改后：

3、確認數據報文順序

有一些特殊情況，客戶的業務源目的IP 源目的端口 源目的mac 都是一樣的，有部分業務出現業務不通，我們在交換機上做流統計就不行了，如下圖網絡架構。箭頭是數據流的走向，交換機上作了相關策略PC是不能直接訪問SER的。

那我們在排查這個問題的時候，我們要了解客戶的業務模型和所使用得協議，很巧合這個業務是WEB。我們從而知道TCP報文字段里是有序列號的，我們可以把它當做唯一標示來進行分析，也可以通過序列號進行排序。

一般抓出來的都是相對序列號0 1不容易分析，這里我們通過如下方式進行修改為絕對序列號。

Edit-----preference------protocols----tcp---relative sequence numbers

修改參數如下：

我拿TCP協議舉例

把TCP的這個選項去除掉

最后的效果：

4、過濾出來的數據包保存

我們抓取數據包的時候數據量很大，但對于我們有用的只有幾個，我們按條件過濾之后，可以把過濾后的數據包單獨保存出來，便于以后來查看。

5、數據包計數統計

網絡里有泛洪攻擊的時候，我們可以通過抓包進行數據包個數的統計，來發現哪些數據包較多來進行分析。

Statistics------conversations

6、數據包解碼

IPS發送攻擊日至和防病毒日志信息端口號都是30514，SecCenter上只顯示攻擊日志，不顯示防病毒日志。查看IPS本地有病毒日志，我們可以通過在SecCenter抓包分析確定數據包是否發送過來。

發過來的數據量比較大，而且無法直接看出是IPS日志還是AV日志，我們先把數據包解碼。

（由于沒有IPS的日志抓包信息，暫用其他代替）

解碼前：

解碼操作：

解碼后：

7、數據包報文跟蹤

查看TCP的交互過程，把數據包整個交互過程提取出來，便于快速整理分析。

8、通過其查看設備的廠家

查看無線干擾源的時候，我們可以看出干擾源的mac地址，我們可以通過Wireshark來查找是哪個廠商的設備，便于我們快速尋找干擾源。

例如：mac地址是A4-4E-31-30-0B-E0

我們通過Wireshark安裝目錄下的manuf文件來查找

審核編輯：湯梓紅