昨天匯入了GeoLite2，可以知道國家/城市和公司。
今天試著於搜尋位置輸入過濾條件

• 過濾條件

  • 顯示特定IP
    • ip.addr == xxx.xxx.xxx.xxx
  • 不顯示特定IP
    • ip.addr != xxx.xxx.xxx.xxx
  • 顯示特定TCP/UDP Port
    • tcp.port == 80
  • 不顯示特定TCP/UDP Port
    • !tcp.port == 80
  • 顯示多個TCP/UDP Port
    • tcp.port in {80 443}
  • 顯示特定IP與特定Port
    • ip.addr == C&C and tcp.port in {80 443}
  • 顯示特地機構
    • ip.geoip.org == "GOOGLE"
  • 顯示特地國家/城市
    • ip.geoip.country == "TAIWAN"
    • ip.geoip.city == "TOKYO"
  • 以上為舉例，當然還有很多指令可以使用。

• 可以利用Wireshark的統計資訊，來查找有沒有奇怪的國家或公司
  

  Statistics > Endpoints
  裡面會顯示國家、城市和公司。

• 若有奇怪的國家或想仔細看封包流向的
  

  於該欄位點擊右鍵 > Apply as Filter > Selected
  便會自動將此IP輸入搜尋欄查找，之後可以觀察Info欄位來確認封包資訊