45 张图带你从入门到精通学习 WireShark！

你好，这里是网络技术联盟站。

前几天文章中我们介绍了常用的抓包工具，有朋友表示用 WireShark 场景比较多，想让我写一篇有关 WireShark 详细的文章，那么今天瑞哥安排！

一、什么是 WireShark？

Wireshark 是一个开源抓包工具或者叫网络嗅探器，用于分析网络流量和分析数据包。

其实 WireShark 以前的名字不叫 WireShark，以前都叫做 Ethereal，于 1998 年首次开发，直到 2006 年才改为 Wireshark。

Wireshark 在网络排障中使用非常频繁，显示了网络模型中的第 2 层到第 5 层（链路层、网络层、传输层、应用层），不管是网络工程师、网络安全工程师、黑客、软件开发工程师，平时都会用到 Wireshark。

二、WireShark 下载与安装

2.1 WireShark 下载

首先，我们访问 WireShark 的官网地址https://www.wireshark.org/：

点击【Download】：

我们看到 WireShark 下载有 windows 系统的、mac 系统的以及 Linux 系统的，我们这里以 Windows 系统为例，点击【Windows Installer (64-bit)】。

这里下载的是最新版本即 3.6.7 版本，如果你想下载旧版本的，可以点击下载界面下的【Old Stable Release】：

2.2 WireShark 安装

WireShark 下载好后就是安装了，直接双击程序：

然后像安装普通软件一样，一直下一步就行，不想安装在系统盘，自行改下位置。

2.3 WireShark 安装成功

WireShark 安装成功后，我们点开看下：

我们看到安装好的版本就是刚刚我们下载的。

下面我们来介绍一下 WireShark 的使用。

三、WireShark 的使用

3.1 选择监听的网络

每个人的场景不一样，如果你连接的是有线网络，那么你就选择本地连接的某个网络，我这里是无线网 WAN：

如果你点进去，能够看到数据包在不停的刷，那么就表明你选择的网络是正确的。

3.2 WireShark 界面简单介绍

WireShark 界面包含：

• 菜单栏

• 工具栏

• 数据包列表面板

• 数据包详细信息面板

• 数据包字节信息面板

具体请看下图：

3.3 开始抓包和停止抓包

如果想要开始抓包，就点击：

如果想要停止抓包，就点击：

抓包过程中想要清空抓包列表，就点击：

3.4 抓包信息分析

会开始/停止抓包，那么抓到的包如何分析呢？

我们随便拿个包看下：

我们可以双击打开这个报文：

得到这样的界面：

• Frame 40055：数据帧，编号为 40055，数据帧就是我们抓到的这个包发送的数据，74 字节，代表发送数据的大小有 74 字节的大小。

• Ethernet II, Src: IntelCor_12:5a:b6 (5c:80:b6:12:5a:b6), Dst: 02:c8:a1:89:ae:d8 (02:c8:a1:89:ae:d8)：以太网、二层，源目 mac 地址分别为5c:80:b6:12:5a:b6和02:c8:a1:89:ae:d8。

• Internet Protocol Version 4, Src: 192.168.3.29, Dst: 52.205.128.109：ipv4、三层，源目 ip 地址分别为192.168.3.29和52.205.128.109。

• Transmission Control Protocol, Src Port: 62641, Dst Port: 443, Seq: 0, Len: 0：TCP 协议，源目端口号分别为 62641 和 443，序列号为 0，数据长度为 0.

3.5 WireShark 会话着色规则

网上也有介绍 WireShark 会话着色规则的，不过都不是很全面。

想要看到最全的默认着色规则，需要这样：

这样我们就能看到所有的默认着色规则，我们需要记住这些默认的规则，这样的话就能很轻易的判断出每条会话属于什么类的信息。

3.6 WireShark 过滤器

Wireshark 中有两种类型的过滤器：第一个是捕获过滤器，另一个是显示过滤器。

捕获过滤器

捕获过滤器在启动捕获操作之前建立，参数只记录和存储用户想要分析的流量，一旦捕获操作开始，就不可能修改这种类型的过滤器。

显示过滤器

显示过滤器包含适用于所有捕获数据包的参数，可以在启动捕获操作之前设置此类过滤器，然后再调整或取消它，还可以在操作进行时建立它，显示过滤器将数据保存在跟踪缓冲区中，隐藏用户不感兴趣的流量并仅显示用户希望查看的信息。

Wireshark 有非常丰富的内置过滤器库，可帮助用户更好地监控他们的网络，想要使用 Wireshark 过滤器，可以在 Wireshark 工具栏下方输入相关规则：

尽管 Wireshark 拥有全面的过滤功能，但记住这些语法通常会很棘手，因为规则太多了，你压根顾不过来，所以，这里瑞哥给大家介绍一些常用的规则，足够大家平时使用了，至于遇到一些特殊场景的规则，谷歌一下就行。

❗❗❗ 注意：确保输入任何过滤器时显示过滤器背景为绿色，否则过滤器无效!

有效的过滤器：

无效的过滤器：

3.6.1 链路层协议

显示 ARP 流量：

arp

显示从 MAC 地址为02:c8:a1:89:ae:d8的设备发送的 ARP 协议帧：

arp.src.hw_mac == 02:c8:a1:89:ae:d8

显示从 IP 地址为192.168.3.29的设备发送的 ARP 协议帧：

arp.src.proto_ipv4 == 192.168.3.29

显示以太网流量：

eth

3.6.2 网络层协议

源 IP 地址：

ip.src == 192.168.3.29

目标 IP 地址：

ip.dst == 192.168.3.29

指定 IP 地址，不论其是源 ip 还是目的 ip：

ip.addr == 192.168.3.29

也可以使用：

ip.src == 192.168.3.29 || ip.addr == 192.168.3.29

💡 Tip：两者是一个效果，||是或者的意思

显示 IPv6 流量：

ipv6

3.6.3 传输层协议

查看 TCP 流量：

tcp

tcp 源端口 443 的流量：

tcp.srcport == 443

tcp 目的端口 443 的流量：

tcp.dstport == 443

tcp 指定端口 443 的流量，不论其是源端口还是目的端口：

tcp.port==443

其等价过滤表达式和 ip 地址一样用||连接：

tcp.srcport == 443 || tcp.dstport == 443

查看 UDP 流量：

udp

udp 源端口 5353 的流量：

udp.srcport == 5353

udp 目的端口 5353 的流量：

udp.dstport == 5353

udp 指定端口 5353 的流量，不论其是源端口还是目的端口：

udp.port==5353

其等价过滤表达式和 ip 地址一样用||连接：

udp.srcport == 5353 || udp.dstport == 5353

3.6.4 应用层协议

查看 HTTP 流量：

http

查看 HTTP POST 请求 流量：

http.request.method == "POST"

查看 HTTP GET 请求 流量：

http.request.method == "GET"

查看所有 DNS 请求和响应：

dns

3.7 保存 WireShark 文件

我们在抓完一段时间的包后想要保存抓包过程，我们可以在停止抓包后 Ctrl + S 进行保存，或者点击开始抓包，会提示你是否保存：

一旦保存成功，会在指定目录生成一个后缀名为.pcapng的抓包文件：

我们可以想要查看抓包过程或者报文的时候选择双击它：

四、总结

WireShark 是一个非常好用、强大的工具，对于平时抓包分析十分有帮助，而且应用广泛，在 IT 领域几乎是家喻户晓，本文从 WireShark 基本介绍、WireShark 下载与安装、WireShark 的使用三个方面对 WireShark 进行了详细展开，希望本文对您有所帮助，最后感谢您的阅读，如果觉得文章对您有帮助，别忘了点赞👍、收藏⭐哦！有任何问题，欢迎在下方评论区与我讨论！！！