前置

建议将【捕获】-> 【选项】->【在所有接口上使用混杂模式】打勾。这样能捕获所有经过网关的包，而非只有成功的。

主页中显示了捕获哪个接口，可在cmd中输入ipconfig确定。网线连接的大概是“以太网” / wifi上网大概是“WLAN”，以此选择当前自己的设备。

基础的搜索

TCP三次握手：

在上方搜索栏查询tcp.flags.ack==0 and tcp.flags.syn==1 ，如上图可知是主动发送的数据。

tcp.flags.fin == 1 发送完毕

arp、udp 、icmp、http、dns等都能搜到

Source指源地址（发送方），查询有ip.src_host == 192.168.28.240

Destination指目标方，查询有ip.dst_host == 192.168.1.1

双方中有即可ip.addr == 192.168.28.240

此外TCP四次挥手：

可以通过协议分级查看可能的流量

题目中可在【统计】->【协议分级】中查看哪种流量占大头

追踪一次来回的整个过程才有意义

对于完整的数据流可能由多个数据包发送，可以【分析】->【追踪数据流】->【(TCP) stream】

此外，这里的箭头可以快速更换每个流。

传输的文件甚至可以分离提取

用像是binwalk等工具能提取出其中传输的文件

导出

方便观察多次请求，可以导出成表格：注意导出的只有当前筛选后的

当注意到全是http时，直接开导：