在当今数字化的时代，网络流量分析对于确保网络的稳定运行、排查故障以及保障网络安全至关重要。Wireshark 作为一款功能强大的网络数据包分析工具，为我们提供了多种实用的功能，帮助我们深入了解网络中的数据传输情况。

1、数据包筛选

数据包筛选功能是wireshark的核心功能，比如需要筛选出特定的协议如HTTP，Telnet等，也可能需要筛选出ip地址，端口等

1.1源ip筛选

输入命令：ip.src == 地址 目的ip筛选
输入命令：ip.dst == 地址

1.2 mac地址筛选

eth.dst ==A0:00:00:04:C5:84 筛选目标mac地址
eth.addr==A0:00:00:04:C5:84 筛选MAC地址

1.3 端口筛选

tcp.dstport == 80 筛选tcp协议的目标端口为80 的流量包
tcp.srcport == 80 筛选tcp协议的源端口为80 的流量包
udp.srcport == 80 筛选udp协议的源端口为80 的流量包

1.4 协议筛选

tcp 筛选协议为tcp的流量包
udp 筛选协议为udp的流量包

1.5 mac地址筛选

eth.dst ==A0:00:00:04:C5:84
筛选目标mac地址 eth.addr==A0:00:00:04:C5:84
筛选MAC地址 arp/icmp/http/ftp/dns/ip
筛选协议为arp/icmp/http/ftp/dns/ip的流量包

1.6 端口筛选

tcp.dstport == 80  筛选tcp协议的目标端口为80 的流量包
tcp.srcport == 80  筛选tcp协议的源端口为80 的流量包
udp.srcport == 80  筛选udp协议的源端口为80 的流量包

1.7 协议筛选

tcp  筛选协议为tcp的流量包
udp 筛选协议为udp的流量包
arp/icmp/http/ftp/dns/ip  筛选协议为arp/icmp/http/ftp/dns/ip的流量包

2、数据包搜索

在wireshark界面按“Ctrl+F”，可以进行关键字搜索：
Wireshark的搜索功能支持正则表达式、字符串、十六进制等方式进行搜索，通常情况下直接使用字符串方式进行搜索。

3、数据包还原

在wireshark中，存在一个交追踪流的功能，可以将HTTP或TCP流量集合在一起并还原成原始数据，具体操作方式如下：
选中想要还原的流量包，右键选中，选择追踪流 – TCP流/UPD流/SSL流/HTTP流。

4、数据提取

Wireshark支持提取通过http传输（上传/下载）的文件内容，方法如下：
选中http文件传输流量包，在分组详情中找到data或者Line-based text data:text/html层，鼠标右键点击 – 选中 导出分组字节流。

总之，Wireshark 凭借其强大的数据包筛选、搜索、还原和数据提取功能，成为了网络工程师、安全分析师等专业人士不可或缺的工具。无论是排查网络故障、分析网络性能，还是进行网络安全审计，Wireshark 都能为我们提供有力的支持。