Wireshark的安装

Wireshark 的所有操作系统版本都可以从官方网站获取到

Wireshark 的官方网站是：http://www.wireshark.org

百度云盘分享链接： 链接:链接:https://pan.baidu.com/s/105lWf2g4Fj-2uZkVR3V0mw?pwd=nj7z  提取码: nj7z

什么是Wireshark？

 wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

wireshark是开源软件，可以放心使用。可以运行在windows、Linux、Mac OS上。

Wireshark的使用原理

Wireshark捕获原理

当用户的计算机连接到一个网络时，它依赖一个网络适配器和链路层驱动（如Realtek PCI-E 网卡驱动）来发送和接受数据包。Wireshark 为了捕获和分析数据包，也是依赖网络适配器和网卡驱动来传递数据

Wireshark的系统结构

GTK：图形窗口工具，操控所有的用户输入/输出界面。

核心引擎：将其它模块连接起来，起到综合调度的作用。

捕获引擎：依赖于底层库Libpcap/WinPcap 库，进行数据捕获。

Wiretap 是用来读取和保存来自于WinPcap 的捕获文件盒一些其他的文件格式

Wireshark的界面

如图为Wireshark主窗口

在Wireshark主窗口中，共被分为了六个部分，从上往下依次分别为：

工具栏

显示过滤器

数据包列表

数据包分层结构

数据包分层结构中从上往下四行分别为：物理层，数据链路层，网络层，传输层

数据包16进制显示

数据包ASCII码

如何使用Wireshark

新手使用Wireshark的难点在于面对大量的数据眼花缭乱，无从下手，不知道那一条是自己想要的，这时候我们就需要使用到过滤器。

过滤器分为两种：

显示过滤器：过滤已经捕获的数据包，只显示符合条件的

捕获过滤器：只捕获符合条件的数据包

显示过滤器的使用

我接下来以百度这个网站作为例子

在浏览器中打开www.baidu.com,点击F12

如图：可以在右侧查到百度网站的ip地址

然后来到Wireshark的显示过滤器中，输入ip.addr==119.84.52.230 and tcp.port == 443(目的IP地址)就可以过滤出与百度相关的数据包

常用过滤语法

需求	过滤表达式
过滤指定 IP	ip.addr == 192.168.1.100
过滤目的 IP	ip.dst == 14.215.183.130
过滤指定端口	tcp.port == 443 (HTTPS) / udp.port == 53 (DNS)
过滤指定协议	http / https / dns / tcp / udp
IP + 端口组合	ip.addr == 14.215.183.130 and tcp.port == 443
排除某个 IP	!(ip.addr == 10.11.160.33)

 

注意：ip.addr 不能直接跟端口，必须用 and 连接 IP 和端口条件，否则会提示「无效的过滤」。颜色标记与专家信息

Wireshark 会用不同颜色标记数据包：

黑色：错误包（如 TCP 重置、校验和错误）

红色：严重问题（如连接失败）

黄色：警告（如重传、延迟确认

蓝色 / 绿色：正常流量

捕获过滤器的使用

这样就可以只捕获有关条件的数据包