Wireshark详解

1.Wireshark 简介

Wireshark 是一款开源的网络协议分析工具，支持及时抓包、协议剖析、流量统计等功能，广泛用于网络故障排查、安全分析、协议学习等范畴。
2.下载与安装

1. 下载地址

• 官网下载：访问 Wireshark 官网，选择对应操纵系统的安装包：
  
  
  
  • Windows：.exe 安装步调（推荐稳定版 Stable Release）。
    
  • macOS：.dmg 镜像文件。
    
  • Linux：通过包管理器安装（如 apt install wireshark）。
    
  
  

2. 安装步调（以 Windows 为例）

• 双击安装包，按向导完成安装。
  
• 勾选 Install WinPcap/Npcap（必须安装，用于捕获网络接口数据）。
  
• 安装完成后，以管理员权限启动 Wireshark（否则无法抓包）。
  

3. 界面与焦点功能

1. 主界面布局

区域功能说明菜单栏包罗文件操纵、捕获控制、分析工具等焦点功能。工具栏快速访问开始/停止捕获、过滤表达式输入等。接口列表表现全部可用的网络接口及实在时流量统计。捕获数据面板表现捕获的数据包列表，包罗时间、源/目的地址、协议、长度等根本信息。协议详情面板展开单个数据包，逐层剖析协议头部和载荷内容（如 Ethernet → IP → TCP → HTTP）。字节流面板以十六进制和 ASCII 格式表现原始字节流。 2. 常用菜单功能

• File：打开/保存捕获文件（.pcapng 格式）、导出特定命据包。
  
• Edit：查找数据包、标记关键帧。
  
• View：调整表现布局、着色规则（按协议或过滤条件高亮）。
  
• Capture：选择接口、设置捕获过滤器。
  
• Analyze：跟踪 TCP 流、启用协议剖析统计。
  

4. 过滤功能详解

1. 过滤范例

范例作用阶段语法示例应用场景捕获过滤器抓包前tcp port 80淘汰捕获数据量，聚焦目的流量。表现过滤器抓包后分析http.request.method == "GET"快速定位特定协议或行为。 2. 常用过滤下令

协议过滤

1. tcp          # 仅显示 TCP 协议数据包
2. udp          # 仅显示 UDP 协议数据包
3. http         # 过滤 HTTP 请求/响应
4. dns          # 过滤 DNS 查询与响应

复制代码

IP 与端口过滤

1. ip.src == 192.168.1.100    # 源 IP 地址
2. ip.dst == 10.0.0.1         # 目的 IP 地址
3. tcp.port == 443            # TCP 端口 443（HTTPS）
4. udp.port range 1000-2000   # UDP 端口范围

复制代码

逻辑运算符

1. &&      # 逻辑与（如 `tcp && ip.addr == 192.168.1.1`）
2. ||      # 逻辑或（如 `http || dns`）
3. !       # 逻辑非（如 `!arp`）

复制代码

高级过滤

1. tcp.flags.syn == 1         # 过滤 TCP SYN 标志包
2. http.request.method == "POST"  # HTTP POST 请求
3. frame contains "password"  # 数据包内容包含关键字

复制代码

5. 过滤下令与网络布局对应

过滤条件对应网络层应用案例eth.addr数据链路层分析 MAC 地址通信题目。ip.addr / ip.ttl网络层（IP）定位 IP 地址辩论或 TTL 超时。tcp.port / udp.port传输层（TCP/UDP）排查端口占用或防火墙拦截。http / dns应用层分析 Web 请求或域名剖析异常。 6. 使用注意事项

• 权限题目：需以管理员/root 权限运行，否则无法捕获数据。
  
• 性能影响：在高流量场景下，及时抓包大概导致 CPU/内存占用过高。
  
• 隐私保护：避免捕获敏感信息（如暗码），抓包后及时清理文件。
  
• 过滤优化：优先使用捕获过滤器淘汰数据量，再结合表现过滤器分析。
  
• 文件保存：定期保存 .pcapng 文件，防止不测关闭导致数据丢失。
  

7. 案例分析 TCP 三次握手

1. 实行目的

验证 TCP 毗连的建立过程（SYN → SYN-ACK → ACK）。
2. 操纵步调

• 启动捕获：
  
  
  
  • 选择接口（如以太网或 Wi-Fi），点击工具栏 鲨鱼鳍图标 开始抓包。
    
  • 设置表现过滤器：tcp && ip.addr == [目的服务器IP]（如访问百度：tcp && ip.addr == 180.101.49.12）。
    
  
  
• 触发通信：
  
  
  
  • 在欣赏器访问目的网站（如 www.baidu.com），生成 TCP 毗连请求。
    
  
  
• 分析数据包：
  
  
  
  • 停止捕获，在数据包列表中查找 三次握手 过程：
    
    
    
    • SYN（Flags: SYN）：客户端发起毗连请求。
      
    • SYN-ACK（Flags: SYN, ACK）：服务器响应确认。
      
    • ACK（Flags: ACK）：客户端确认建立毗连。
      
    
    
  • 右键点击任一握手包，选择 Follow → TCP Stream，查看完备会话。
    
  
  
• 关键字段解读：
  
  
  
  • Sequence Number：初始序列号（ISN），每次握手递增。
    
  • Acknowledgment Number：确认对方序列号 + 1。
    
  • Flags：SYN、ACK 标志位的变化。
    
  
  

3. 预期效果

成功捕获三个一连数据包，标志位依次为 SYN → SYN-ACK → ACK，序列号符合逻辑递增，证明 TCP 毗连正常建立。
8. 扩展学习

• 高级协议剖析：通过 Analyze → Decode As 自定义协议剖析规则。
  
• 统计工具：使用 Statistics → Protocol Hierarchy 查看流量占比。
  
• 自动化脚本：结合 tshark（下令行版 Wireshark）批量分析数据。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。