使用WireShark搜索想要的包（简约版）

我们通过tcpdump从服务器抓下来的包，通过WireShark打开后，是一堆原始数据。如何在成千上万条原始数据中找到我们想要的数据呢？本文章提供两个最常用的方法供大家参考。

WireShark提供两个搜索栏供大家使用，一个搜索栏在主页面正上方，中间有“应用显示过滤器的字样”，我们可以在这个搜索栏中输入例如来源Ip，目标Ip，端口等条件来检索数据，下面写几个最常用的:

所有ip为104511发送给端口为80或者80端口发出的tcp包：
ipsrc == 104511 && tcpport == 80

所有TCP长度大于7byte的包：
tcplen >= 7

所有>有些网页需要你登录之后才可以访问,你需要提供账户和密码。
只要在发送>