1.菜单edit-preference-filter expressions添加过滤规则后在主界面上就会有相应的按钮。
2.菜单view-coloring rules
3.保存时只保存特定的包：file-export specified packets 在保存前可以右击单个数据名选择“mark packet”（或直接ctrl+M）,再mark一次（ctrl+M）则取消
4.在标记的包间前后切换：shift+ctrl+N    shift+ctrl+B
5.file-merge合并，可合并在之前、之后或按时间顺序（view-time display format可以指定显示格式，包括绝对时间戳）
时间很重要，比如可以知道网络延迟
6.可以在显示的时候指定以某一个包为基准时间（选定某个数据包后，edit-set time reference）,但只有捕获的时间显示格式设定为相对时间才有用
7.ctrl+f  可以搜索 三种方式 ：filter正则表达式、16进制过滤、字符串过滤  ctrl+N查下一个,ctrl+B查上一个

8.capture option
可选择按每多大数据包、多少分钟保存成本地一个文件，多少个文件或多少数据包或多少时间后停止。
ring buffer with 是环状缓冲，比如指定6个文件，那么当创建了6个文件后，在创建第7个文件时会覆盖掉第1个文件。
automatic scrolling in live capture
hide cpture info dialog 隐藏根据协议显示数据包量和比率窗口。（默认）对网络异常分析时最好去除勾选（即显示出来）

9.过滤的两种方式：
1)捕获过滤器 ：capture-interface  - 双击相应的接口卡 - Capture Filter  如 port 445
2)显示过滤器（捕获所有，但显示过滤后的部分）

10.BPF语法：type : host 、net、port
                 Dir: src、dst 
                 protocal:  ether、ip、tcp、udp、http、ftp   
如：dst host 192.168.1.1 

11.&&  ||   !

有任何疑问请点击留言: 留言板
本文发布于http://wiki.too2.net,转载请联系本人。