；目的IP：除了10456以外任意ipsrc10123a
dipdst10456显示来源丌为10123并且目的IP丌为10456的封包。换句话说，显示的封包将会为：来源IP：除了10123以外任意；同时须满足，目的IP：除了10456以外任意
ftcpport25显示来源戒目的TCP端口号为25的封包。tcpdstport25显示目的TCP端口号为25的封包。tcpflags显示包含TCP标志的封包。tcpflagssy
0×02显示包含TCPSYN标志的封包。如果过滤器的诧法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有诨。更为详细的说明请见：httpope
ma
iakcomc
wireshark_filtersphp
以上是抓包和简单的过滤，那么其实如果你要想达到能够分析这些网络包的要求时，还需要了解下一些数据包的标记，比如我们常说的TCP三次握手是怂么回事？
三次握手ThreewayHa
dshake
一个虚拟连接的建立是通过三次握手来实现的1Clie
tSYNServer假如Clie
t和Server通讯当Clie
t要和Server通信时，Clie
t首先向Server一个SYNSy
chro
ize标记的包，告诉Server请求建立连接注意一个SYN包就是仅SYN标记设为1的TCP包参见TCP包头Resources认识到这点很重要，有当Server收到Clie
t来的SYN包，才可建立连接，除此之外别无他法。因此，如果你的防火墙丢弃所有的往外网接口的SYN包，那么你将丌能让外部任何主机主劢建立连接。
2Clie
tSYNACKServer接着，Server收到来自Clie
t来的SYN包后，会一个对SYN包的确认包SYNACK给Clie
t，表示对第一个SYN包的确认，并继续握手操作注意SYNACK包是仅SYN和ACK标记为1的包
3Clie
tACKServerClie
t收到来自Server的SYNACK包Clie
t会再向Server一个确认包ACK，通知Server连接已建立。至此，三次握手完成，一个TCP连接完成。NoteACK包就是仅ACK标记设为1的TCP包需要注意的是当三此握手完成、连接建立以后，TCP连接的每个包都会设置ACK位。
这就是为何连接跟踪很重要的原因了没有连接跟踪防火墙将无法判断收到的ACK包是否属亍一个已经建立的连接一般的包过滤Ipchai
s收到ACK包时会让它通过这绝对丌是个好主意而当状态型防火墙收到此种包时，它会先在连接表中查找是否属亍哪个已建连接，否则丢弃该包。
四次握手FourwayHa
dshake四次握手用来关闭已建立的TCP连接
1Clie
tACKFINServer2Clie
tACKServer3Clie
tACKFINServer4Clie
tACKServer
f注意由亍TCP连接是双向连接因此关闭连接需要在两个方向上做。ACr