筛选器

• ip.addr == 192.168.1.1只显示与192.168.1.1相关的流量。
• http只抓HTTP流量
• tcp只抓 TCP 流量
• udp port 53只抓 UDP DNS 解析流量
• tcp.flags.syn == 1 and tcp.flags.ack == 0只看TCP三次握手
• tcp.analysis.retransmission 查找 TCP 重传
• tcp.analysis.lost_segment 定位 TCP 丢包
• tcp.flags.reset==1 查看哪些连接被 RST 终止

软件操作

• Capture>Options，选择特定接口只抓某个网卡的数据
• File>Export Objects >HTTP 可以看到所有的 HTTP 传输对象
• View > Coloring Rules 给不同协议或状态添加颜色，根据不同流量类型设置高亮（如 SYN 数据包标红、RST 连接终止标蓝）
  在Wireshark中可以快速查看哪些设备流量最高、哪个协议占用最多。
• Statistics > Conversations 统计对话流量
• Statistics > Protocol Hierarchy 统计协议分布
• Statistics > IO Graph 查看 IO 走势

掌握 SSL/TLS 预共享密钥，Wireshark能用来解密 HTTPS流量

• Edit > Preferences > Protocols > TLS 添加 SSL Key Log 文件
• ssl&&tcp.port==443 过滤 HTTPS 流量
  如果有服务器的密钥文件，可以直接解密HTTPS传输内容

远程抓包

tcpdump -i eth0 -w capture.pcap在 Linux 服务器上抓包并保存为文件，把capture.pcap拷回本地，用Wireshark打开分析。或者
ssh root@192.168.1.1 "tcpdump -i eth0 -w -" | wireshark -k -i - -T pcap通过 ssh+Wireshark 远程抓包

Tshark

Wireshark的GUI界面很好用，但如果需要自动化分析，Tshark(Wireshark的CLl版本)是个利器。

• tshark -i eth0 -f "tcp port 80"直接过滤抓取 TCP 80 端口流量
• tshark -r capture.pcap -Y "http.request"| wc -l统计 HTTP 访问次数