应用简介
wireshark电脑版是一款开源免费的网络数据包分析软件,广泛应用于网络运维、故障排查、安全检测及协议教学等场景。它如同网络世界的显微镜,能实时捕获流经网卡的各类数据包,逐层解析从链路层到应用层的协议细节,将二进制数据转化为易读格式,软件同步适配各类新型网络传输协议,可兼容物理网卡、无线网卡、虚拟机虚拟网卡等多种网络接口设备。

【软件功能】
实时流量捕获:可选取电脑任意可用网络接口启动实时抓包,支持开启混杂模式,捕获局域网内所有经过该网卡的数据包,支持千兆、万兆带宽稳定采集流量,可自定义抓包缓存大小,避免大量数据包造成内存溢出。
全层级协议解码:自动对捕获数据包分层解析,从物理链路层、网络层、传输层到应用层完整拆解数据,支持四千余种网络协议解析,涵盖传统网络协议、物联网通信协议、网页传输协议、远程访问协议等全部主流协议类型。
数据包过滤检索:提供两类独立过滤机制,捕获过滤可在抓包阶段提前过滤无关流量,减少存储占用;显示过滤针对已抓取数据包做精准筛选,支持IP地址、端口、协议类型、数据包特征等多条件组合检索,快速定位目标数据包。
数据包存储与导入导出:支持将抓取的数据包保存为标准抓包文件格式,兼容其他抓包工具生成的流量文件;可导入十六进制文本数据包记录完成离线分析,也能单独导出筛选后的部分数据包,提供多格式导出选项。
流量统计分析:内置多维度统计模块,可生成网络会话统计、协议流量占比统计、数据传输吞吐图表、数据包时序分布报表,直观展示整体流量分布、连接时长、数据收发总量等数据信息。
数据流追踪:支持追踪单条完整传输数据流,整合拆分分散的分段数据包,完整展示单次网络请求与响应的全部交互内容,便于查看完整通信流程。
自定义着色标记:内置默认着色规则区分不同协议与异常数据包,支持用户自定义着色条件,对重传、连接重置、超时等异常数据包高亮标注,快速识别网络异常流量。
插件扩展:搭载Lua脚本扩展接口,可通过第三方插件新增私有协议解析规则、自定义统计报表、拓展批量处理数据包的操作能力,适配个性化专业分析需求。
【Wireshark使用教程入门】
1、抓包过滤器
捕获过滤器的菜单栏路径为Capture-->CaptureFilters。用于在抓取数据包前设置。

如何使用?可以在抓取数据包前设置如下。

iphostIP地址andicmp表示只捕获当前IP的ICMP数据包。获取结果如下:

2、显示过滤器
显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛,抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析。同样上述场景,在捕获时未设置捕获规则直接通过网卡进行抓取所有数据包,如下

执行ping指令获取的数据包列表如下;

观察上述获取的数据包列表,含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。

【常见问题】
Q1:启动后看不到本机网卡接口
A1:重新运行安装程序勾选Npcap组件,右键软件以管理员身份启动;类Unix系统通过授权命令开放抓包权限,重启软件后重新查看接口列表。
Q2:抓包无任何数据包产生
A2:对照本机IP选择对应物理网卡,在捕获设置中开启混杂模式,临时关闭杀毒软件网络防护组件,关闭其他抓包工具后重新启动捕获。
Q3:过滤语句输入后无匹配数据包
A3:核对过滤语法标准格式,简化筛选条件分步测试,确认当前抓包流量包含目标协议或IP地址后重新输入过滤语句。
Q4:软件长时间抓包出现卡顿、内存占用过高
A4:在捕获设置中调低缓存数值,分段抓取流量并及时保存、清空数据包列表,关闭后台占用内存的其他程序。
Q5:无法查看HTTPS数据包明文内容
A5:配置浏览器会话密钥文件路径,将密钥导入软件,即可解析TLS加密层内的应用层交互内容。