Wireshark过滤TCP重传数据包

1. TCP Retransmission数据包是由于通讯超时产生的重传数据包，在网络性能差的情况下经常会看到这类数据包。因而使用Wireshark即可过滤或者显示这类数据包。

2. 先显示TCP重传数据包

wireshark命令tcp.analysis.retransmission可以看到如下图

都是TCP重传数据包。

3. 过滤TCP重传数据包

wireshark命令http and !(tcp.analysis.retransmission)可以看到如下图

已经过滤掉了TCP重传数据包了。

4. Wireshark中有很多过滤数据包的命令，直接可以过滤或显示所要的数据包类型。

5. Tshark 过滤PCAP的命令实例

tshark -r 1.pcap -nn -Y rule -w 2.pcap
说明rule为过滤规则如’dns’为过滤dns数据，总体命令含义为读取1.pcap过滤出dns数据包，写入2.pcap.