wireshark使用教程

Wireshark是一款专业的网络数据包分析工具，能够捕获并详细展示网络数据包的信息。它通过WinPCAP接口与网卡交互，实现数据报文的交换。这款软件广泛应用于网络故障排查、安全分析等领域。接下来，将为大家分享一份实用的Wireshark操作指南，帮助快速上手。

1、 先安装Wireshark，然后打开其初始界面。

2、 常用按键功能简介

3、 显示可使用的接口列表。

4、 抓包时需设置某些选项，通常会保存最后一次设置的结果。

5、 启动新一轮数据包捕获。

6、 停止数据包捕获。

7、 5、继续本次抓包操作。

8、 打开捕获的数据包文件，支持加载之前保存的抓包文件。无论是Wireshark还是tcpdump（使用-w参数）保存的文件，均可顺利打开并查看内容。

9、 7. 保存文件，存储本次抓包或分析结果以备后续使用。

10、 关闭已打开的文件，文件关闭后将返回初始界面。

11、 重新加载抓包文件。

12、 Wireshark用于捕获机器上指定网卡的网络数据包。如果计算机有多块网卡，需选择正在使用的那块。例如，同时有无线和有线网卡时，选择当前连接网络的网卡进行数据包捕获。

13、 点击Capture->Interfaces后，会弹出对话框，选择正确的网卡，再点击Start按钮，即可开始抓包。

14、 Wireshark窗口包含显示过滤器、封包列表与详细信息，这些都是我们常用的重要内容。

15、 WireShark 主要由以下几个界面组成：

16、 显示过滤器（Display Filter），用于筛选数据包。

17、 封包列表面板显示捕获的封包信息，包括源地址、目标地址和端口号。不同颜色表示各类封包特性或状态区分。

18、 3. 数据包详细信息窗格，用于显示数据包中的各个字段内容。

19、 解码器窗格（16进制数据）

20、 地址栏和其他杂项功能汇总如下：

21、 过滤功能对初学者尤为重要。使用Wireshark时，会面临海量冗余数据，几千甚至几万条记录中难觅所需信息，极易让人感到迷茫和无所适从。

22、 过滤器能助我们从海量数据里快速定位所需信息。

23、 滤波器分两种类型

24、 一种是显示过滤器，位于主界面，用于在已捕获的记录中筛选出所需记录。

25、 一种是捕获过滤器，用于筛选捕获的数据包，避免记录过多。可在Capture -> Capture Filters中设置。

26、 保留筛选条件

27、 在Filter栏填写表达式后，点击Save按钮命名，例如Filter 102。

28、 过滤栏会新增一个Filter 102按钮。

29、 表达式过滤的规则

30、 遵循表达式规则

31、 协议筛选

32、 例如，仅展示TCP协议相关的数据。

33、 2. 网络协议过滤

34、 例如，ip.src == 192.168.1.102 表示源地址是 192.168.1.102。

35、 目标地址是192.168.1.102，表示设备或数据包的目的地为该IP地址。

36、 端口筛选功能

37、 TCP协议中，端口号等于80的流量数据包。

38、 仅显示TCP协议中源端口为80的数据包。

39、 HTTP模式过滤

40、 仅展示http.request.method为GET的情况，即只显示使用HTTP GET方法的请求。

41、 逻辑运算符包括AND和OR。

42、 常见的过滤条件表达式

43、 过滤表达式用于筛选特定记录。例如，仅查看HTTP协议相关记录时，可使用条件：源IP为192.168.1.102或目标IP为192.168.1.102的流量。这样能精准定位涉及该IP地址的通信数据，便于分析与排查问题。

44、 数据包列表面板（Packet List Pane）显示捕获的数据包摘要信息。

45、 封包列表面板显示编号、时间戳、源地址、目标地址、协议、长度和信息，不同协议以颜色区分展示。

46、 也可以修改显示颜色的规则，通过菜单：查看（View）->着色规则（Coloring Rules）。

47、 数据包详细信息（Packet Details Pane）展示了每个数据包的结构和内容。

48、 这个面板最为关键，用于查看协议中的每个字段。

49、 行业资讯动态

50、 物理层数据帧的基本情况概述如下：

51、 以太网帧头部：数据链路层中Ethernet II帧头信息。

52、 因特网协议第四版：网络层IP数据包头部信息

53、 传输控制协议：传输层T的数据段头部信息，这部分采用TCP协议。

54、 TCP数据包的详细内容

55、 下图展示了Wireshark捕获的TCP包中各个字段的具体内容。

56、 三次握手流程如下

57、 启动Wireshark，打开浏览器并输入网址。

58、 在Wireshark中输入HTTP过滤条件，找到GET /tankxiao HTTP/1.1的记录，右键选择该条目，然后点击Follow TCP Stream以追踪TCP流。

59、 这样做的目的是获取浏览器访问网站相关数据包，以便进一步分析。

60、 客户端首次发送TCP数据包，标志位设为SYN，序列号为0，表示请求建立连接。

61、 服务器在第二次握手时返回确认包，其标志位为SYN和ACK。需将确认号(Acknowledgement Number)设为客户端ISN加1，也就是0+1=1。

62、 在第三次握手时，客户端发送确认包（ACK），其中SYN标志位设为0，ACK标志位设为1。同时，将服务器发来的ACK序号字段加1后填入确认字段并发回。此外，数据段填写ISN加1的值。

63、 经过TCP三次握手，成功建立连接。