Wireshark绿色版

Wireshark是免费开源的网络抓包工具，修网络、查故障、搞安全、学协议都用它。实时捕获网卡里进出的数据包，链路层、网络层、传输层到应用层，一层层拆开，二进制变能看懂的格式。Win、Mac、Linux都能跑。网络工程师掉头发的时候，开发调接口找bug，或者安全专家查入侵，都用它。学网络的入门必装。

软件特色

1、实时网络数据包捕获与解析

实时捕获网卡流经的原始数据包，逐层解析从链路层到应用层的协议细节，将二进制数据转换为可读格式。

2、多场景网络问题诊断

广泛应用于网络运维故障排查、接口调试、安全威胁检测及网络协议教学。

3、跨平台开源工具链

支持Windows、macOS、Linux系统，免费开源，是网络工程师、开发者的基础工具。

Wireshark使用教程入门

1、功能

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark.

2、选择网卡

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

3、窗口介绍：

WireShark 主要分为这几个界面

3.1 Display Filter(显示过滤器)， 用于过滤

3.2 Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表不同的类型

3.3 Packet Details Pane(封包详细信息), 显示封包中的字段

3.4 Dissector Pane(16进制数据)

3.5 Miscellanous(地址栏，杂项)

如何捕获数据包

4、过滤器

使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

4.1 过滤器有两种，一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录，一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。在Capture -> Capture Filters 中设置，保存过滤。

4.2 新建过滤器，在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 10",

4.3 过滤表达式的规则

4.3.1 协议过滤

比如TCP，只显示TCP协议。

4.3.2 IP 过滤

比如 ip.src =192.168.1.102 显示源地址为192.168.1.102.

ip.dst=192.168.1.102. 目标地址为192.168.1.102

4.3.3 端口过滤

tcp.port =80. 端口为80的

tcp.srcport = 80. 只显示TCP协议的愿端口为80的。

4.3.4 Http模式过滤

http.request.method==“GET”, 只显示HTTP GET方法的。

4.3.5 逻辑运算符为 AND/ OR

5、捕获结果分析

5.1 着色规则

在菜单“视图-着色规则”下查看

5.2 数据包结构

第一行：数据包整体概述，

第二行：链路层详细信息，主要的是双方的mac地址。

第三行：网络层详细信息，主要的是双方的IP地址。

第四行：传输层的详细信息，主要的是双方的端口号。

5.3 tcp数据包

标志位对应的功能：

URG：紧急指针( urgent pointer)有效。

ACK：确认序号有效。

PSH：接收方应该尽快将这个报文段交给应用层。

RST：重建连接。

SYN：同步序号用来发起一个连接。

FIN：发端完成发送任务。

窗口大小：用于流量控制。

检验和：检验和覆盖了整个的 TCP报文段： TCP首部和TCP数据，与udp相似需要计算伪首部。

tcp数据包结构及在wireshark中的位置

6、Tcp三次握手分析

客户端->服务器：发送标识为SYN=1、随机产生的客户端序号seq(发送序号)

服务器->客户端：发送标识为SYN=1、ACK=1、第一步产生的客户端序号seq+1(确认序号)、随机产生的服务端序号seq

客户端->服务器：第一步产生的客户端序号seq+1(发送序号)、第二步产生的服务端序号seq+1(确认序号)、ACK=1

三次数据包

其中[SYN]意为SYN位为1(如果没有，则表示为0)。同理如果[]中有ACK，表示ACK位为1

6.1 第一次握手数据包

客户端发送一个TCP，标志位为SYN，序列号为0. 代表客户端请求建立连接。 如下图

6.2 第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1. 如下图

6.3 第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0.ACK标志位为1.并且把服务器发来ACK的序号字段+1.放在确定字段中发送给对方.并且在数据段放写ISN的+1. 如下图:

就这样通过了TCP三次握手，建立了连接

注意事项

1、抓包前先确认法律权限

只抓自己设备、自己网络的数据。在别人公司、公共网络未经授权抓包，涉嫌侵犯隐私。公司网络提前问IT部门，别偷偷抓。

2、混杂模式慎开

默认只抓发给本机的数据包。开启混杂模式会抓同网段所有流量，信息量大、可能涉及别人数据。一般排查自己电脑问题不需要开。网卡不一定支持，开了也不一定抓到。

3、磁盘空间会爆

抓包文件增长很快，几分钟能上百MB。存大文件前先估算大小，或设置“抓包文件自动分割”（例如每200MB分一个）。抓完及时关，删无用大的文件。

4、实时抓包会丢包

流量大（千兆网络、下载大文件）时，Wireshark处理不过来会丢包。用命令行版tshark减少GUI开销。商业环境用高性能抓包设备。

5、过滤规则语法记牢

抓包前设捕获过滤器（例：host192.168.1.1抓特定IP），抓完后用显示过滤器二次筛查。不会写过滤器，几万个包看花眼。花半天学基本语法事半功倍。

6、解密HTTPS需要私钥

Wireshark能解SSL/TLS流量，需要在“协议首选项”里导入服务器私钥（生产环境不可能给你）。不想折腾看加密包里的明文就算了。自己测试环境可以。

7、注意版本兼容性

新版Wireshark抛弃旧版Windows（Vista以下）。Win7建议装老版本（3.x）。Win10/11用最新版。

8、抓USB流量功能有限

USB抓包支持不成熟，不如专用硬件。别指望完美解析。

9、泄露隐私风险

抓包文件可能含密码、Token、Cookie、聊天内容。分享出去前脱敏。安全专家分享POC时注意。

10、关闭后残留进程

有时关闭GUI，后台dumpcap.exe还在抓。任务管理器看一眼，结束进程。

更新日志

优化丨优化了部分功能体验。

优化丨修复了部分已知问题。

Wireshark绿色版免责声明：

1、本软件及软件版权属各自产权人所有，

2、只用于个人封装技术研究交流使用，不得用于商业用途，

3、且本网站不承担任何技术及版权问题，请在试用后24小时内删除。

4、如果您对本软件有任何意见和建议，欢迎到反馈，请购买正版软件！