Wireshark v3.4.6 官网版

Wireshark是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据，也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。Wireshark拥有许多强大的特性：包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;它更支持上百种协议和媒体类型; 拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。

Wireshark官网版界面

1、Display Filter(显示过滤器)， 用于过滤

2、Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表

3、Packet Details Pane(封包详细信息)， 显示封包中的字段

4、Dissector Pane(16进制数据)

5、Miscellanous(地址栏，杂项)

Wireshark官网版功能

1、深入检查数百种协议，并且一直在增加更多协议

2、实时捕获和离线分析

3、标准三窗格包浏览器

4、多平台：在Windows，Linux，macOS，Solaris，FreeBSD，NetBSD和其他许多平台上运行

5、可以通过GUI或通过TTY模式TShark实用程序浏览捕获的网络数据

6、业界最强大的显示器滤波器

7、丰富的VoIP分析

8、读/写许多不同的捕获文件格式：

tcpdump(libpcap)，Pcap NG，Catapult DCT2000，Cisco Secure IDS iplog，Microsoft网络监视器NetworkGeneralSniffer®(压缩和未压缩)，Sniffer®Pro和NetXray®，Network Instruments Observer ，NetScreen snoop，Novell LANalyzer，RADCOM WAN / LAN分析仪，Shomiti /Finisar Surveyor，Tektronix K12xx，Visual Networks Visual UpTime，WildPackets EtherPeek / TokenPeek / AiroPeek等等

9、使用gzip压缩的捕获文件可以动态解压缩

10、实时数据可以从以太网，IEEE 802.11，PPP / HDLC，ATM，蓝牙，USB，令牌环，帧中继，FDDI等中读取(取决于您的平台)

11、许多协议的解密支持，包括IPsec，ISAKMP，Kerberos，SNMPv3，SSL / TLS，WEP和WPA / WPA2

12、可以将着色规则应用于数据包列表，以便进行快速，直观的分析

13、输出可以导出为XML，PostScript®，CSV或纯文本

Wireshark官网版工作流程

1、确定Wireshark的位置。如果没有一个正确的位置，启动软件后会花费很长的时间捕获一些与自己无关的数据。

2、选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

3、使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

4、使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

5、使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

6、构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

7、重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

Wireshark官网版过滤规则

表达式规则

1、协议过滤

比如TCP，只显示TCP协议。

2、IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3、端口过滤

tcp.port ==80, 端口为80的

tcp.srcport == 80, 只显示TCP协议的愿端口为80的。

4、Http模式过滤

http.request.method=="GET", 只显示HTTP GET方法的。

5、逻辑运算符为 AND/ OR

常用的过滤表达式

封包列表(Packet List Pane)

封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则， View ->Coloring Rules.

例子:

ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

或者

ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP

Linux上运行的wireshark图形窗口截图示例，其他过虑规则操作类似，不再截图。

ip.src eq 10.175.168.182

提示： 在Filter编辑框中，收入过虑规则时，如果语法有误，框会显红色，如正确，会是绿色。

过滤端口

了解了上面的Wireshark过滤规则之后，接下来小编给大家讲解的就是过滤端口，其实这个过滤端口的含义还是比较容易理解的，那么有不懂的用户可以参考下面小编给大家分享的内容，让你能够清楚它的整个使用流程。

例子:

tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80

udp.port eq 15000

那么过滤端口范围：

tcp.port >= 1 and tcp.port <= 80

Wireshark官网版常见问题

1、请先运行Wireshark，并抓取一定的数量包等会实验时使用。在抓取的这些包中会有数据包存在需要我们筛选。

2、请选择【帮助】——【说明文档】，选择Wireshark过滤器选项。因为Wireshark说明文档会以英文形式呈现，有需要的小伙伴们可以借助其他第三方工具进行翻译了解。

3、打开Wireshark文档后选择内容过滤的规则语法等内容信息，使用 "[]" 可以用来提取需要的内容或是判断。

4、接下来小编将以udp包进行内容筛选，过滤地址：***** udp数据前个四字节要等于0x02:0x37:0x2d:0x01 的数据包。如：ip.addr==xx.xx.xx.xx && udp && udp[8:4] == 02:37:2d:01

5、然后你就可以看到符合规则的数据包都以被成功过滤。

wireshark怎么设置中文?

1、首先需要你运行打开Wireshark，因为没有设置的原因，打开后会是一些英文内容。

打开了软件值如下图所示，显示的界面中是全英文的

2、我们选择在菜单栏中选择edit选项——【preferences】

3、在此根据提示选择设置【language】选项。

4、找到中文模式选择即可，【Chinese】模式即可呈现中文内容了。

5、最后，你可以检查Wireshark中文模式已经设置成功了。