45张图带你从入门到精通学习WireShark！超详细WireShark使用教程,附安装包和密钥

一、什么是WireShark？

Wireshark 是一个开源抓包工具或者叫网络嗅探器，用于分析网络流量和分析数据包。
其实WireShark以前的名字不叫WireShark，以前都叫做Ethereal，于1998 年首次开发，直到 2006 年才改为 Wireshark。
Wireshark 在网络排障中使用非常频繁，显示了网络模型中的第 2 层到第 5 层（链路层、网络层、传输层、应用层），不管是网络工程师、网络安全工程师、黑客、软件开发工程师，平时都会用到Wireshark。

点击此处即可获取工具安装包及密钥

二、WireShark下载与安装

2.1 WireShark下载

首先，我们访问WireShark的官网地址https://www.wireshark.org/：

WireShark官网

点击【Download】：

WireShark界面
我们看到WireShark下载有windows系统的、mac系统的以及Linux系统的，我们这里以Windows系统为例，点击【Windows Installer (64-bit)】。
这里下载的是最新版本即3.6.7版本，如果你想下载旧版本的，可以点击下载界面下的【Old Stable Release】：

WireShark旧版本

2.2 WireShark 安装

WireShark下载好后就是安装了，直接双击程序：

WireShark程序

然后像安装普通软件一样，一直下一步就行，不想安装在系统盘，自行改下位置。

2.3 WireShark 安装成功

WireShark 安装成功后，我们点开看下：

WireShark 安装成功

我们看到安装好的版本就是刚刚我们下载的。

下面我们来介绍一下WireShark的使用。

三、WireShark 的使用

3.1 选择监听的网络

选择监听的网络

每个人的场景不一样，如果你连接的是有线网络，那么你就选择本地连接的某个网络，我这里是无线网WAN：

无线网WAN

如果你点进去，能够看到数据包在不停的刷，那么就表明你选择的网络是正确的。

3.2 WireShark 界面简单介绍

WireShark 界面包含：

• 菜单栏
• 工具栏
• 数据包列表面板
• 数据包详细信息面板
• 数据包字节信息面板

具体请看下图：

WireShark 界面

3.3 开始抓包和停止抓包

如果想要开始抓包，就点击：

开始抓包

如果想要停止抓包，就点击

停止抓包

抓包过程中想要清空抓包列表，就点击

清空抓包列表

3.4 抓包信息分析

会开始/停止抓包，那么抓到的包如何分析呢？

我们随便拿个包看下：

我们可以双击打开这个报文：

得到这样的界面：

• Frame 40055：数据帧，编号为40055，数据帧就是我们抓到的这个包发送的数据，74字节，代表发送数据的大小有74字节的大小。
  
• Ethernet II, Src: IntelCor_12:5a:b6 (5c:80:b6:12:5a:b6), Dst: 02:c8:a1:89:ae:d8 (02:c8:a1:89:ae:d8)：以太网、二层，源目mac地址分别为5c:80:b6:12:5a:b6和02:c8:a1:89:ae:d8。

• Internet Protocol Version 4, Src: 192.168.3.29, Dst: 52.205.128.109：ipv4、三层，源目ip地址分别为192.168.3.29和52.205.128.109。

• Transmission Control Protocol, Src Port: 62641, Dst Port: 443, Seq: 0, Len: 0：TCP协议，源目端口号分别为62641和443，序列号为0，数据长度为0.
  

3.5 WireShark 会话着色规则

网上也有介绍WireShark会话着色规则的，不过都不是很全面。

想要看到最全的默认着色规则，需要这样：

这样我们就能看到所有的默认着色规则，我们需要记住这些默认的规则，这样的话就能很轻易的判断出每条会话属于什么类的信息。

3.6 WireShark 过滤器

Wireshark 中有两种类型的过滤器：第一个是捕获过滤器，另一个是显示过滤器。
捕获过滤器
捕获过滤器在启动捕获操作之前建立，参数只记录和存储用户想要分析的流量，一旦捕获操作开始，就不可能修改这种类型的过滤器。
显示过滤器
显示过滤器包含适用于所有捕获数据包的参数，可以在启动捕获操作之前设置此类过滤器，然后再调整或取消它，还可以在操作进行时建立它，显示过滤器将数据保存在跟踪缓冲区中，隐藏用户不感兴趣的流量并仅显示用户希望查看的信息。
Wireshark 有非常丰富的内置过滤器库，可帮助用户更好地监控他们的网络，想要使用Wireshark过滤器，可以在Wireshark工具栏下方输入相关规则：

尽管 Wireshark 拥有全面的过滤功能，但记住这些语法通常会很棘手，因为规则太多了，你压根顾不过来，所以，这里瑞哥给大家介绍一些常用的规则，足够大家平时使用了，至于遇到一些特殊场景的规则，谷歌一下就行。

❗❗❗ 注意：确保输入任何过滤器时显示过滤器背景为绿色，否则过滤器无效!

有效的过滤器：

有效的过滤器

无效的过滤器：

无效的过滤器

3.6.1 链路层协议

显示 ARP 流量：

arp

显示从 MAC 地址为02:c8:a1:89:ae:d8的设备发送的 ARP 协议帧：

arp.src.hw_mac == 02:c8:a1:89:ae:d8

显示从 IP 地址为192.168.3.29的设备发送的 ARP 协议帧：

arp.src.proto_ipv4 == 192.168.3.29

显示以太网流量：

eth

3.6.2 网络层协议

源 IP 地址：

ip.src == 192.168.3.29

目标 IP 地址：

ip.dst == 192.168.3.29

指定 IP 地址，不论其是源ip还是目的ip：

ip.addr == 192.168.3.29

也可以使用：

ip.src == 192.168.3.29 || ip.addr == 192.168.3.29

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/article/detail/41086