进行有效的数据包分析最关键是在什么地方抓包，会有事半功倍的效果。

捕获数据包的方式：

1、混杂模式：一种允许网卡能够查看到所有流经网络线路数据包的驱动模式。网卡将会把每一个它所看的数据包都传递给主机的处理器。

2、集线器网络抓包：将数据包嗅探器连接到集线器的任意一个空闲端口上。

3、交换式网络抓包：

1）端口镜像，强制将交换机一个端口或多个端口的所有通信都镜像到另一个端口上。

2）集线器输出，将目标设备和分析系统分段到同一网络段中，然后把它们直接插到一个集线器上。

3）网络分流器，包括聚合的(3个端口)和非聚合的(4个端口)。

4）ARP欺骗，可以使用工具Cain&Abel，可以在oxid.it下载

4、路由网络抓包：在不同的网段中设置嗅探器

Winpcap驱动是能够通过操作系统捕捉原始数据包、应用过滤器，并能够让网卡切入或切出混杂模式。

Wireshark中查找数据包

使用Ctrl+F打开查找条件框，可以搜索的类型如下

Display Filter：not ip 、ip.addr=192.168.11.1

Hex value：00:ff、00:AB:B1:f0

String：Uer8、Domian

按Ctrl+N，查找下一个匹配的数据包；按Ctrl+B，查找前一个匹配的数据包

捕获过滤器表达样式：

Tcp[13]&16==16  设置了ACK位的TCP数据包

Tcp[13]&4==4     设置了RST位的TCP数据包

Tcp[13]&2==2    设置了SYN位的TCP数据包

Tcp[13]==18           TCP SYN-ACK数据包

Broadcast             仅广播流量

Icmp[0:2]        ICMP目标不可达、主机不可达

显示过滤器表达实例：

!tcp.port==3389                   排除RDP流量

Tcp.flags.syn==1                 具有SYN标志位的TCP数据包

Tcp.flags.rst==1                   具有RST标志位的TCP数据包

!arp                                        排除ARP流量

http                                        所有http流量

smtp||pop||imap              email流量