一、什么是WireShark？

Wireshark 是一个开源抓包工具或者叫网络嗅探器，用于分析网络流量和分析数据包。

其实WireShark以前的名字不叫WireShark，以前都叫做Ethereal，于1998 年首次开发，直到 2006 年才改为 Wireshark。

Wireshark 在网络排障中使用非常频繁，显示了网络模型中的第 2 层到第 5 层（链路层、网络层、传输层、应用层），不管是网络工程师、网络安全工程师、黑客、软件开发工程师，平时都会用到Wireshark。

二、WireShark下载与安装

2.1 WireShark下载

首先，我们访问WireShark的官网地址

https://www.wireshark.org/

点击【Download】：

WireShark界面

我们看到WireShark下载有windows系统的、mac系统的以及Linux系统的，我们这里以Windows系统为例，点击【Windows Installer (64-bit)】。

这里下载的是最新版本即3.6.7版本，如果你想下载旧版本的，可以点击下载界面下的【Old Stable Release】：

WireShark旧版本

2.2 WireShark 安装

WireShark下载好后就是安装了，直接双击程序：

WireShark程序

然后像安装普通软件一样，一直下一步就行，不想安装在系统盘，自行改下位置。

2.3 WireShark 安装成功

WireShark 安装成功后，我们点开看下：

WireShark 安装成功

我们看到安装好的版本就是刚刚我们下载的。

下面我们来介绍一下WireShark的使用。

三、WireShark 的使用

3.1 选择监听的网络

选择监听的网络

每个人的场景不一样，如果你连接的是有线网络，那么你就选择本地连接的某个网络，我这里是无线网WAN：

无线网WAN

如果你点进去，能够看到数据包在不停的刷，那么就表明你选择的网络是正确的。

3.2 WireShark 界面简单介绍

WireShark 界面包含：

菜单栏

工具栏

数据包列表面板

数据包详细信息面板

数据包字节信息面板

具体请看下图：

WireShark 界面

3.3 开始抓包和停止抓包

如果想要开始抓包，就点击：

开始抓包

如果想要停止抓包，就点击：

停止抓包

抓包过程中想要清空抓包列表，就点击：

清空抓包列表

3.4 抓包信息分析

会开始/停止抓包，那么抓到的包如何分析呢？

我们随便拿个包看下：

我们可以双击打开这个报文：

得到这样的界面：

Frame 40055：数据帧，编号为40055，数据帧就是我们抓到的这个包发送的数据，74字节，代表发送数据的大小有74字节的大小。

Ethernet II, Src: IntelCor_12:5a:b6 (5c:80:b6:12:5a:b6), Dst: 02:c8:a1:89:ae:d8 (02:c8:a1:89:ae:d8)：以太网、二层，源目mac地址分别为5c:80:b6:12:5a:b6和02:c8:a1:89:ae:d8。

Internet Protocol Version 4, Src: 192.168.3.29, Dst: 52.205.128.109：ipv4、三层，源目ip地址分别为192.168.3.29和52.205.128.109。

Transmission Control Protocol, Src Port: 62641, Dst Port: 443, Seq: 0, Len: 0：TCP协议，源目端口号分别为62641和443，序列号为0，数据长度为0.

3.5 WireShark 会话着色规则

网上也有介绍WireShark会话着色规则的，不过都不是很全面。

想要看到最全的默认着色规则，需要这样：

这样我们就能看到所有的默认着色规则，我们需要记住这些默认的规则，这样的话就能很轻易的判断出每条会话属于什么类的信息。

3.6 WireShark 过滤器

Wireshark 中有两种类型的过滤器：第一个是捕获过滤器，另一个是显示过滤器。

捕获过滤器

捕获过滤器在启动捕获操作之前建立，参数只记录和存储用户想要分析的流量，一旦捕获操作开始，就不可能修改这种类型的过滤器。

显示过滤器

显示过滤器包含适用于所有捕获数据包的参数，可以在启动捕获操作之前设置此类过滤器，然后再调整或取消它，还可以在操作进行时建立它，显示过滤器将数据保存在跟踪缓冲区中，隐藏用户不感兴趣的流量并仅显示用户希望查看的信息。

Wireshark 有非常丰富的内置过滤器库，可帮助用户更好地监控他们的网络，想要使用Wireshark过滤器，可以在Wireshark工具栏下方输入相关规则：

尽管 Wireshark 拥有全面的过滤功能，但记住这些语法通常会很棘手，因为规则太多了，你压根顾不过来，所以，这里瑞哥给大家介绍一些常用的规则，足够大家平时使用了，至于遇到一些特殊场景的规则，谷歌一下就行。

❗ ❗ ❗ 注意：确保输入任何过滤器时显示过滤器背景为绿色，否则过滤器无效!

有效的过滤器：

有效的过滤器

无效的过滤器：

无效的过滤器

3.6.1 链路层协议

显示 ARP 流量：

arp

显示从 MAC 地址为02:c8:a1:89:ae:d8的设备发送的 ARP 协议帧：

arp.src.hw_mac == 02:c8:a1:89:ae:d8

显示从 IP 地址为192.168.3.29的设备发送的 ARP 协议帧：

arp.src.proto_ipv4==192.168.3.29

显示以太网流量：

eth

3.6.2 网络层协议

源 IP 地址：

ip.src==192.168.3.29

目标 IP 地址：

ip.dst==192.168.3.29

指定 IP 地址，不论其是源ip还是目的ip：

ip.addr==192.168.3.29

也可以使用：

ip.src==192.168.3.29||ip.addr==192.168.3.29

Tip：两者是一个效果，||是或者的意思

显示 IPv6 流量：

ipv6

3.6.3 传输层协议

查看 TCP 流量：

tcp

tcp 源端口 443 的流量：

tcp.srcport == 443

tcp 目的端口 443 的流量：

tcp.dstport == 443

tcp 指定端口443的流量，不论其是源端口还是目的端口：

tcp.port==443

其等价过滤表达式和ip地址一样用||连接：

tcp.srcport == 443 || tcp.dstport == 443

查看 UDP 流量：

udp

udp 源端口 5353 的流量：

udp.srcport == 5353

udp 目的端口 5353 的流量：

udp.dstport == 5353

udp 指定端口5353的流量，不论其是源端口还是目的端口：

udp.port==5353

其等价过滤表达式和ip地址一样用||连接：

udp.srcport == 5353 || udp.dstport == 5353

3.6.4 应用层协议

查看 HTTP 流量：

http

查看 HTTP POST请求 流量：

http.request.method == "POST"

查看 HTTP GET请求 流量：

http.request.method == "GET"

查看所有 DNS 请求和响应：

dns

3.7 保存WireShark文件

我们在抓完一段时间的包后想要保存抓包过程，我们可以在停止抓包后Ctrl + S进行保存，或者点击开始抓包，会提示你是否保存：

一旦保存成功，会在指定目录生成一个后缀名为.pcapng的抓包文件：

我们可以想要查看抓包过程或者报文的时候选择双击它：

四、总结

WireShark是一个非常好用、强大的工具，对于平时抓包分析十分有帮助，而且应用广泛，在IT领域几乎是家喻户晓，本文从WireShark基本介绍、WireShark下载与安装、WireShark 的使用三个方面对WireShark进行了详细展开，希望本文对您有所帮助。