昨天介紹了一些簡單的Wireshark指令下法，那實際上應該要如何應用呢？

有兩種方法可以在Wireshark下指令，第一種是在指令欄中，也就是下圖中的紅框直接打入指令，這種方式會比較需要平常的練習，才能把常用的指令記下來，但相對來講速度也會比較快。

第二種方式是透過選取的方式，Wiresahrk其實也很貼心，只要按下指令框旁邊的Expression，也就是上圖的籃框，就可以依照各種協定來選取想要的規則。店出來的畫面長得像下面這張圖，左邊的部分是各種協定的選單，右上的區塊是可以選擇運算子，右下的部分則輸入想要比對的值。如果覺得選單太長懶的滑，也可以在下方的搜尋欄位輸入關鍵字，就可以比較快找到想要的協定以方便下指令。

昨天講過如果想要搜尋特定ip的話可以用「ip.addr=IP位址這個指令」，但用這種指令的話，出來的結果會把所有來源或目的地包含此IP的結果都列出來，但如果我現在只想要找封包來源是該IP的話，如果是目的地是該IP的封包就忽略不計，這時候要下的指令就是ip.src==IP位址」，這個src是source的縮寫。相反的，如果我只想找到封包目的地是該IP的話，這時候要下的指令就會是ip.dst==IP位址」，這個dst是destination的縮寫。另外，如果我想抓封包大小在特定範圍的封包，例如我要找封包大小小於400的封包，我則可以下「frame.len<400」這個指令。其實大部分的指令都蠻直覺的，一看之下就可以大致了解這段指率要過濾的是怎樣的封包，只是指令中的縮寫可能就還是要事前看過才知道怎麼使用。

舉個例子，我如果想要找IP來源是我的IP（111.xxx），而目標IP是Line Server（203.xxx），使用的協定是HTTP，而且封包大小小於400的話，如果直接在指令列打就可以打成［ip.src==111.xxx && ip.dst==203.xxx && http && frame.len<400］，按下送出後看到的就會是下圖的樣子，篩選出來的封包也符合我們所下的指令。

那如果是想從選單選擇的話也可以，只要從欄位中選擇對應的欄位，並選擇對應的運算子及值後送出，也可以得到一樣的效果喔！