wireshark新手教程（wireshark3.4使用教程入门）

你好，这里是网络技术联盟站。

前几天文章中我们介绍了常用的抓包工具，有朋友表示用WireShark场景比较多，想让我写一篇有关WireShark详细的文章，那么今天瑞哥安排！

一、什么是WireShark？

Wireshark 是一个开源抓包工具或者叫网络嗅探器，用于分析网络流量和分析数据包。

其实WireShark以前的名字不叫WireShark，以前都叫做Ethereal，于1998 年首次开发，直到 2006 年才改为 Wireshark。

Wireshark 在网络排障中使用非常频繁，显示了网络模型中的第 2 层到第 5 层（链路层、网络层、传输层、应用层），不管是网络工程师、网络安全工程师、黑客、软件开发工程师，平时都会用到Wireshark。

二、WireShark下载与安装

2.1 WireShark下载

首先，我们访问WireShark的官网地址https://www.wireshark.org/

点击【Download】：

我们看到WireShark下载有windows系统的、mac系统的以及Linux系统的，我们这里以Windows系统为例，点击【Windows Installer (64-bit)】。

这里下载的是最新版本即3.6.7版本，如果你想下载旧版本的，可以点击下载界面下的【Old Stable Release】：

2.2 WireShark 安装

WireShark下载好后就是安装了，直接双击程序：

然后像安装普通软件一样，一直下一步就行，不想安装在系统盘，自行改下位置。

2.3 WireShark 安装成功

WireShark 安装成功后，我们点开看下：

我们看到安装好的版本就是刚刚我们下载的。

下面我们来介绍一下WireShark的使用。

三、WireShark 的使用

3.1 选择监听的网络

每个人的场景不一样，如果你连接的是有线网络，那么你就选择本地连接的某个网络，我这里是无线网WAN：

如果你点进去，能够看到数据包在不停的刷，那么就表明你选择的网络是正确的。

学习更多网络技术，关注公众号【网络技术联盟站】：

3.2 WireShark 界面简单介绍

WireShark 界面包含：

• 菜单栏
• 工具栏
• 数据包列表面板
• 数据包详细信息面板
• 数据包字节信息面板

具体请看下图：

3.3 开始抓包和停止抓包

如果想要开始抓包，就点击：

如果想要停止抓包，就点击：

抓包过程中想要清空抓包列表，就点击：

3.4 抓包信息分析

会开始/停止抓包，那么抓到的包如何分析呢？

我们随便拿个包看下：

我们可以双击打开这个报文：

得到这样的界面：

• Frame 40055：数据帧，编号为40055，数据帧就是我们抓到的这个包发送的数据，74字节，代表发送数据的大小有74字节的大小。

• Ethernet II, Src: IntelCor_12:5a:b6 (5c:80:b6:12:5a:b6), Dst: 02:c8:a1:89:ae:d8 (02:c8:a1:89:ae:d8)：以太网、二层，源目mac地址分别为5c:80:b6:12:5a:b6和02:c8:a1:89:ae:d8。

• Internet Protocol Version 4, Src: 192.168.3.29, Dst: 52.205.128.109：ipv4、三层，源目ip地址分别为192.168.3.29和52.205.128.109。

• Transmission Control Protocol, Src Port: 62641, Dst Port: 443, Seq: 0, Len: 0：TCP协议，源目端口号分别为62641和443，序列号为0，数据长度为0.

3.5 WireShark 会话着色规则

网上也有介绍WireShark会话着色规则的，不过都不是很全面。

想要看到最全的默认着色规则，需要这样：

这样我们就能看到所有的默认着色规则，我们需要记住这些默认的规则，这样的话就能很轻易的判断出每条会话属于什么类的信息。

3.6 WireShark 过滤器

Wireshark 中有两种类型的过滤器：第一个是捕获过滤器，另一个是显示过滤器。

捕获过滤器

捕获过滤器在启动捕获操作之前建立，参数只记录和存储用户想要分析的流量，一旦捕获操作开始，就不可能修改这种类型的过滤器。

显示过滤器

显示过滤器包含适用于所有捕获数据包的参数，可以在启动捕获操作之前设置此类过滤器，然后再调整或取消它，还可以在操作进行时建立它，显示过滤器将数据保存在跟踪缓冲区中，隐藏用户不感兴趣的流量并仅显示用户希望查看的信息。

Wireshark 有非常丰富的内置过滤器库，可帮助用户更好地监控他们的网络，想要使用Wireshark过滤器，可以在Wireshark工具栏下方输入相关规则：

尽管 Wireshark 拥有全面的过滤功能，但记住这些语法通常会很棘手，因为规则太多了，你压根顾不过来，所以，这里瑞哥给大家介绍一些常用的规则，足够大家平时使用了，至于遇到一些特殊场景的规则，谷歌一下就行。

??? 注意：确保输入任何过滤器时显示过滤器背景为绿色，否则过滤器无效!

有效的过滤器：

无效的过滤器：

3.6.1 链路层协议

显示 ARP 流量：

arp

显示从 MAC 地址为02:c8:a1:89:ae:d8的设备发送的 ARP 协议帧：

arp.src.hw_mac == 02:c8:a1:89:ae:d8

显示从 IP 地址为192.168.3.29的设备发送的 ARP 协议帧：

arp.src.proto_ipv4 == 192.168.3.29

显示以太网流量：

eth

3.6.2 网络层协议

源 IP 地址：

ip.src == 192.168.3.29

目标 IP 地址：

ip.dst == 192.168.3.29

指定 IP 地址，不论其是源ip还是目的ip：

ip.addr == 192.168.3.29

也可以使用：

ip.src == 192.168.3.29 || ip.addr == 192.168.3.29

?? Tip：两者是一个效果，||是或者的意思

显示 IPv6 流量：

ipv6

3.6.3 传输层协议

查看 TCP 流量：

tcp

tcp 源端口 443 的流量：

tcp.srcport == 443

tcp 目的端口 443 的流量：

tcp.dstport == 443

tcp 指定端口443的流量，不论其是源端口还是目的端口：

tcp.port==443

其等价过滤表达式和ip地址一样用||连接：

tcp.srcport == 443 || tcp.dstport == 443

查看 UDP 流量：

udp

udp 源端口 5353 的流量：

udp.srcport == 5353

udp 目的端口 5353 的流量：

udp.dstport == 5353

udp 指定端口5353的流量，不论其是源端口还是目的端口：

udp.port==5353

其等价过滤表达式和ip地址一样用||连接：

udp.srcport == 5353 || udp.dstport == 5353

3.6.4 应用层协议

查看 HTTP 流量：

http

查看 HTTP POST请求 流量：

http.request.method == \\\"POST\\\"

查看 HTTP GET请求 流量：

http.request.method == \\\"GET\\\"

查看所有 DNS 请求和响应：

dns

3.7 保存WireShark文件

我们在抓完一段时间的包后想要保存抓包过程，我们可以在停止抓包后Ctrl + S进行保存，或者点击开始抓包，会提示你是否保存：

一旦保存成功，会在指定目录生成一个后缀名为.pcapng的抓包文件：

我们可以想要查看抓包过程或者报文的时候选择双击它：

四、总结

WireShark是一个非常好用、强大的工具，对于平时抓包分析十分有帮助，而且应用广泛，在IT领域几乎是家喻户晓，本文从WireShark基本介绍、WireShark下载与安装、WireShark 的使用三个方面对WireShark进行了详细展开，希望本文对您有所帮助，最后感谢您的阅读，如果觉得文章对您有帮助，别忘了点赞??、收藏?哦！有任何问题，欢迎在下方评论区与我讨论！！！