当你捕捉到一些包以后,或者读取以前存储的包的时候,可以很容易的进行查找。从Edit菜单选择Find Packet...菜单项.Wireshark将会弹出图 6.8 “"Find Packet/查找包"对话框”所示对话框.
首先你需要选择查找方式:
- Display filter
在Filter:输入字段,选择查找方向,点击OK(过滤器方式)
例如:查找192.168.0.1发起的三步握手建立连接,使用如下字符:
ip.addr == 192.168.0.1 and tcp.flags.syn
显示过滤的详情,参见第 6.3 节 “浏览时过滤包”
- Hex Value
在包数据中搜索指定的序列
例如,使用"00:00"查找下一个包含两个空字节的包数据。
- String
在包中查找字符串,可以指定多种参数
输入的查找值将会被进行语法检查。如果语法检查无误,输入框背景色会变成绿色,反之则是红色。
你可以指定查找的方向通过:
- UP
向上查找包列表(包编号递减方式)
- Down
向下查找包列表(包编号递增方式)