前幾天介紹如何以Wireshark觀察一些加密及非加密連線，今天則開始來介紹一些過濾封包的指令。

其實在之前的文章中，就已經有介紹過一些指令了，例如可以用http來過濾HTTP的封包，用ssl來過濾SSL的封包等等，其實網路的封包這麼多種，每種通訊協定在每一層所使用的欄位也不盡相同，所以是很難把所有的指令都介紹的大家的，所以在這邊先介紹幾個比較常用到的過濾指令給大家。

1. 如果想要過濾特定IP的話，可以使用「ip.addr==IP位址」這個指令
2. 如果想要過濾特定Port的話，可以使用「tcp.port == Port號碼」這個指令
3. 如果想要過濾特定Protocol的話，如同之前介紹過的，可以直接在欄位輸入協定名稱，例如http、https、ssl及ssh等。

Wireshark指令的運算子包含下列數個：

==：全等於
!=：不等於
>：大於
<：小於
>=：大於等於
<=小於等於
Contains：包含
Matches：符合
In：屬於其中的一項

另外Wireshark是可以同時下多個指令的，連結方式則是在各項指令之間加上「&&」就可以了。

例如我要找流經127.0.01這個IP，而且是使用ssl協定的封包，下的指令就可以是「ip.addr==127.0.0.1 && ssl」。

其實官方也有出一個表（網址：http://packetlife.net/blog/2008/oct/18/cheat-sheets-tcpdump-and-wireshark/ ），把常使用的過濾指令都列上去，大家如果想要的話也可以下載下來印成壁紙貼在牆上，相信每天看著看著，很快就可以全部記熟囉。

今天先介紹一些簡單的應用，往後如果用到其他過濾指令時也都會再介紹給大家，不過如果有興趣的就可以先自己玩玩看囉～