这里罗列了一部分过滤规则，更多不在赘述，百度一大堆。


菜单栏


16位源端口号：16位的源端口中包含初始化通信的端口。源端口和源IP地址的作用是标识报文的返回地址。
16位目的端口号：16位的目的端口域定义传输的目的。这个端口指明报文接收计算机上的应用程序地址接口。
32位序号：32位的序列号由接收端计算机使用，重新分段的报文成最初形式。当SYN出现，序列码实际上是初始序列码（Initial Sequence Number，ISN），而第一个数据字节是ISN+1。这个序列号（序列码）可用来补偿传输中的不一致。
32位确认序号：32位的序列号由接收端计算机使用，重组分段的报文成最初形式。如果设置了ACK控制位，这个值表示一个准备接收的包的序列码。
4位首部长度：4位包括TCP头大小，指示何处数据开始。
保留（6位）：6位值域，这些位必须是0。为了将来定义新的用途而保留。
标志：6位标志域。表示为：紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是：URG、ACK、PSH、RST、SYN、FIN。
16位窗口大小：用来表示想收到的每个TCP数据段的大小。TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数，起始于确认序号字段指明的值，这个值是接收端正期望接收的字节。窗口大小是一个16字节字段，因而窗口大小最大为65535字节。
所谓有图有真相，我以前通过wireshark来学习，很好的促进对协议的理解。
在比如ospf 协议

通过wireshark 分析抓包是不是更促进学习记忆？


二、故障处理
1.没有审计到数据？
2.审计到数据不全？
3.ARP攻击网络缓慢？
4.网络故障无法上网？
5.网络不通
比如我们网络常见的ARP 攻击，有时候网络很慢，找不到原因，可以抓包分析

如果网络中有大量的ARP 请求（异常大量），查找到这个源MAC地址，干掉
比如我们发现HOST A 访问不到 SERVER1， 那么可以在SERVER1 与交换机连接端口做镜像分析HOSTA的流量是否到达，如果都没过来流量，就不用排查SERVER 的问题了。
附赠一份之前网上下载的抓包大全，可以好好看看，希望对大家有帮助