它是一款网络数据包分析软件，网络数据包分析软件的作用是捕获网络数据包，并尽可能的展示最详细的网络数据包数据，作为接口直接与网卡交换数据包，是网络数据包和流量分析领域非常强大的工具，深受各类网络工程师和网络分析人员的喜爱。

本文的主要内容包括：

我们先来介绍一下这个软件。

首先我们来看一下这个软件的主界面。

在这个界面中，主界面

在菜单栏上选择->，勾选WLAN网卡（这里需要根据每台电脑的网卡使用情况来选择，简单的看使用的IP对应的网卡）。点击Start。开始抓包。

启动后处于抓包状态。

1、执行需要抓包的操作，比如ping等。

2、操作完成后，抓取相关数据包，为避免其他无用数据包影响分析，可以通过过滤栏中设置过滤条件来过滤数据包列表，结果如下。注：ip.addr == 119.75.217.26 and icmp 表示只显示源主机IP或目标主机IP为119.75.217.26且协议为ICPM的数据包。

3.抓包就完成了，就这么简单，后面会介绍过滤条件和如何查看数据包的详细内容。

抓包接口

注：包列表区中不同协议以不同颜色区分，协议颜色标识位于菜单栏View-->Rules中。如下图

主要分为这几个接口

（ ），用于设置过滤数据包列表的过滤条件。菜单路径：--> 。

列表框（ List）展示抓取到的数据包，每个数据包包含编号、时间戳、源地址、目的地址、协议、长度、数据包信息等，不同协议的数据包以不同的颜色显示。

窗格（ ），在数据包列表中选中某个特定的数据包，数据包详细信息中会显示该数据包的所有详细信息。数据包详细信息面板是最重要的，用于查看协议中的各个字段。每行信息都是

（1）帧：物理层数据帧概述

（2）：数据链路层以太网帧头信息

（3）4：层IP数据包头信息

（4）：传输层T的数据段头信息，这里是TCP

（5）：应用层信息，这里是HTTP协议

TCP数据包具体内容

从下图中可以看到捕获的TCP数据包中的各个字段。

窗格（数据包字节区域）。

筛选器设置

新手使用时，会得到大量冗余的数据包，很难找到自己抓取到的数据包。该工具自带两种过滤器，学会使用这两种过滤器可以帮助我们在大量数据中快速找到自己需要的信息。

（1）数据包捕获过滤器

捕获过滤器的菜单栏路径为 --> ，用于在捕获数据包之前进行设置。

如何使用？在抓取数据包之前，可以进行如下设置。

ip host 60.207.246.216 and icmp 表示只抓取主机IP为60.207.246.216的ICMP数据包，结果如下：

（2）显示过滤器

显示过滤器用于设置抓包后的过滤条件，通常抓包时条件比较宽泛，当抓包内容比较多时，使用显示过滤器设置条件，方便分析。同样的场景，抓包时不设置抓包规则，直接通过网卡抓取所有数据包，如下

执行ping得到的数据包列表如下

观察上面获取到的数据包列表，其中包含了大量的无效数据，此时可以通过设置显示过滤条件来提取分析信息。ip.addr == 211.162.2.183 和 icmp. 并过滤。

以上介绍了抓包过滤器和显示过滤器的基本使用方法，当网络不太复杂或者流量不大的时候，使用显示过滤器进行抓包后处理就可以满足我们的需求。下面介绍一下两者的语法以及区别。

过滤表达式的规则

1. 数据包捕获过滤器语法和示例

数据包捕获过滤器类型类型（主机、网络、端口）、方向Dir（源、目标）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&&与、||或、！非）

（1）协议过滤

比较简单，在抓包过滤框里输入协议名称就可以了。

TCP，只显示TCP协议的数据包列表