使用WireShark搜索想要的包（简约版）

我们通过tcpdump从服务器抓下来的包，通过WireShark打开后，是一堆原始数据。如何在成千上万条原始数据中找到我们想要的数据呢？本文章提供两个最常用的方法供大家参考。

WireShark提供两个搜索栏供大家使用，一个搜索栏在主页面正上方，中间有“应用显示过滤器的字样”，我们可以在这个搜索栏中输入例如来源Ip，目标Ip，端口等条件来检索数据，下面写几个最常用的:

所有ip为104511发送给端口为80或者80端口发出的tcp包：
ipsrc == 104511 && tcpport == 80

所有TCP长度大于7byte的包：
tcplen >= 7

所有>

运行wireshark软件，选择无线网络连接，点击start，进入捕包界面，在filter（过滤器）的方框中，输入>

用wireshark软件捕获>

1、运行wireshark软件，进入主界面。

2、在左侧网卡区域，点击选择网卡。目前这里是无线网卡，就选择无线网络连接。

3、点击start，进入捕包界面。

4、在filter（过滤器）的方框中，输入>

5、 点击右侧的apply（应用）。此时，进入捕包状态。若在浏览器中浏览网页，就能捕获其中的>

1，要查看ssl的内容，需要得到server的server rsa key
2, 打开wireshark, 找到如下路径， Edit -> Preferences -> protocols -> SSL
然后点击 RSA Keys List: Edit,
在新的RSA编辑界面创建一个新的RSA key
其中
IP address 是服务器的IP
Port 一般是443
protocol 一般填写>