使用Wireshark抓取数据包时，TCP包是最为常见的。大量的应用程序使用TCP协议传输数据包，如浏览器、QQ之类。其中，TCP包中的data部分就是携带数据。为了快速找到含有data的TCP包，用户可以根据包的大小进行过滤。TCP空包大小为54字节。所以，只要大于54字节的，都是含有data的。这时，只要使用显示过滤器tcp.len>54，就可以过滤出含有data的TCP包。

——————————Wireshark实训手册