相信對(duì)于經(jīng)常活躍于互聯(lián)網(wǎng)，與網(wǎng)絡(luò)領(lǐng)域打交道的用戶來(lái)說(shuō)，對(duì)于Wireshark這款原名又稱Ethereal的免費(fèi)且開源的網(wǎng)絡(luò)嗅探抓包工具程序來(lái)說(shuō)應(yīng)該并不陌生了。眾所周知，Wireshark其作為時(shí)下全世界網(wǎng)絡(luò)領(lǐng)域中功能最專業(yè)、最出色的網(wǎng)絡(luò)封包分析軟件之一而言，它不僅僅功能強(qiáng)大，操作簡(jiǎn)單好用，能夠支持大家通過(guò)強(qiáng)大的過(guò)濾器引擎，一鍵輕松的在線抓包、排除無(wú)關(guān)信息的干擾、篩選出有用的數(shù)據(jù)包，并通過(guò)圖形界面的形式來(lái)在微觀層面上查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細(xì)內(nèi)容，通俗點(diǎn)將就像是電工使用電壓表來(lái)檢查電纜內(nèi)部的情況一樣。而且Wireshark支持面廣，實(shí)用性強(qiáng)，不但可在Windows，Linux，macOS、Solaris，F(xiàn)reeBSD，NetBSD和其他許多平臺(tái)上運(yùn)行，支持Psec，ISAKMP，Kerberos，SNMPv3等許多協(xié)議的解密。同時(shí)還更可幫助大家將著色規(guī)則應(yīng)用于數(shù)據(jù)包列表，致力于全方位滿足用戶的多種需求，并通過(guò)更快速，更直觀的數(shù)據(jù)分析和優(yōu)化，來(lái)有效的提升你的工作訪問(wèn)加載速度等?？偠灾?，有需要的朋友趕緊來(lái)本站免費(fèi)下載體驗(yàn)吧！
說(shuō)明：本站小編為大家提供的是“Wireshark綠色便攜版”，此版本已完成免安裝便攜版處理，只需下載解壓運(yùn)行即可使用，并且軟件自帶簡(jiǎn)體中文語(yǔ)言設(shè)定，所有功能完全免費(fèi)哦！有需要的朋友不要錯(cuò)過(guò)啦！

功能特色

1、對(duì)數(shù)百個(gè)協(xié)議進(jìn)行深度檢查，并一直在添加更多協(xié)議
2、實(shí)時(shí)捕捉和離線分析
3、標(biāo)準(zhǔn)三窗格數(shù)據(jù)包瀏覽器
4、多平臺(tái)：在 Windows、Linux、macOS、Solaris、FreeBSD、NetBSD 和許多其他平臺(tái)上運(yùn)行
5、可以通過(guò) GUI 或通過(guò) TTY 模式 TShark 實(shí)用程序?yàn)g覽捕獲的網(wǎng)絡(luò)數(shù)據(jù)
6、業(yè)內(nèi)最強(qiáng)大的顯示過(guò)濾器
7、豐富的VoIP分析
8、讀取/寫入許多不同的捕獲文件格式：tcpdump (libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer®（壓縮和未壓縮）、Sniffer® Pro 和 NetXray®、Network Instruments Observer , NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek 等
9、使用 gzip 壓縮的捕獲文件可以即時(shí)解壓縮
10、可以從以太網(wǎng)、IEEE 802.11、PPP/HDLC、ATM、藍(lán)牙、USB、令牌環(huán)、幀中繼、FDDI 等（取決于您的平臺(tái)）讀取實(shí)時(shí)數(shù)據(jù)
11、對(duì)許多協(xié)議的解密支持，包括 IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2
12、可將著色規(guī)則應(yīng)用于數(shù)據(jù)包列表，以進(jìn)行快速、直觀的分析
13、輸出可以導(dǎo)出為 XML、PostScript®、CSV 或純文本

wireshark怎么抓包？

1、打開軟件之后，選擇菜單欄上Capture -> Option，勾選WLAN網(wǎng)卡（這里需要根據(jù)各自電腦網(wǎng)卡使用情況選擇，簡(jiǎn)單的辦法可以看使用的IP對(duì)應(yīng)的網(wǎng)卡）。點(diǎn)擊Start。啟動(dòng)抓包

2、wireshark程序啟動(dòng)后，即可看到wireshark處于抓包狀態(tài)中

3、執(zhí)行需要抓包的操作，如ping www.baidu.com。

4、操作完成后相關(guān)數(shù)據(jù)包就抓取到了。為避免其他無(wú)用的數(shù)據(jù)包影響分析，可以通過(guò)在過(guò)濾欄設(shè)置過(guò)濾條件進(jìn)行數(shù)據(jù)包列表過(guò)濾，獲取結(jié)果如下。說(shuō)明：ip.addr == 119.75.217.26 and icmp 表示只顯示ICPM協(xié)議且源主機(jī)IP或者目的主機(jī)IP為119.75.217.26的數(shù)據(jù)包

5、如果沒(méi)有抓取到想要的數(shù)據(jù)包，則點(diǎn)擊重新抓取按鈕即可；或者抓取到個(gè)人需要的數(shù)據(jù)包之后，可以點(diǎn)擊紅色的停止按鈕即可

6、數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標(biāo)識(shí)定位在菜單欄視圖 --> 著色規(guī)則，如下所示

wireshark過(guò)濾器表達(dá)式的規(guī)則

一、【抓包過(guò)濾器語(yǔ)法和實(shí)例】
抓包過(guò)濾器類型Type（host、net、port）、方向Dir（src、dst）、協(xié)議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、邏輯運(yùn)算符（&& 與、|| 或、！非）
1、協(xié)議過(guò)濾
比較簡(jiǎn)單，直接在抓包過(guò)濾框中直接輸入?yún)f(xié)議名即可。
TCP，只顯示TCP協(xié)議的數(shù)據(jù)包列表
HTTP，只查看HTTP協(xié)議的數(shù)據(jù)包列表
ICMP，只顯示ICMP協(xié)議的數(shù)據(jù)包列表
2、IP過(guò)濾
host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104
3、端口過(guò)濾
port 80
src port 80
dst port 80
4、邏輯運(yùn)算符&& 與、|| 或、！非
src host 192.168.1.104 && dst port 80 抓取主機(jī)地址為192.168.1.80、目的端口為80的數(shù)據(jù)包
host 192.168.1.104 || host 192.168.1.102 抓取主機(jī)為192.168.1.104或者192.168.1.102的數(shù)據(jù)包
！broadcast 不抓取廣播數(shù)據(jù)包
二、顯示過(guò)濾器語(yǔ)法和實(shí)例
1、比較操作符
比較操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
2、協(xié)議過(guò)濾
比較簡(jiǎn)單，直接在Filter框中直接輸入?yún)f(xié)議名即可。注意：協(xié)議名稱需要輸入小寫。
tcp，只顯示TCP協(xié)議的數(shù)據(jù)包列表
http，只查看HTTP協(xié)議的數(shù)據(jù)包列表
icmp，只顯示ICMP協(xié)議的數(shù)據(jù)包列表

3、 ip過(guò)濾
ip.src ==192.168.1.104 顯示源地址為192.168.1.104的數(shù)據(jù)包列表
ip.dst==192.168.1.104, 顯示目標(biāo)地址為192.168.1.104的數(shù)據(jù)包列表
ip.addr == 192.168.1.104 顯示源IP地址或目標(biāo)IP地址為192.168.1.104的數(shù)據(jù)包列表

4、端口過(guò)濾
tcp.port ==80,顯示源主機(jī)或者目的主機(jī)端口為80的數(shù)據(jù)包列表。
tcp.srcport == 80,只顯示TCP協(xié)議的源主機(jī)端口為80的數(shù)據(jù)包列表。
tcp.dstport == 80，只顯示TCP協(xié)議的目的主機(jī)端口為80的數(shù)據(jù)包列表。

5、 Http模式過(guò)濾
http.request.method=="GET",只顯示HTTP GET方法的。
6、邏輯運(yùn)算符為 and/or/not
過(guò)濾多個(gè)條件組合時(shí)，使用and/or。比如獲取IP地址為192.168.1.104的ICMP數(shù)據(jù)包表達(dá)式為ip.addr == 192.168.1.104 and icmp

7、按照數(shù)據(jù)包內(nèi)容過(guò)濾。假設(shè)我要以IMCP層中的內(nèi)容進(jìn)行過(guò)濾，可以單擊選中界面中的碼流，在下方進(jìn)行選中數(shù)據(jù)。如下

右鍵單擊選中后出現(xiàn)如下界面；

選中Select后在過(guò)濾器中，后面條件表達(dá)式就需要自己填寫。如下我想過(guò)濾出data數(shù)據(jù)包中包含內(nèi)容的數(shù)據(jù)流。包含的關(guān)鍵詞是contains 后面跟上內(nèi)容

軟件亮點(diǎn)

1、適用于UNIX和Windows
2、從網(wǎng)絡(luò)接口捕獲實(shí)時(shí)數(shù)據(jù)包數(shù)據(jù)
3、打開包含使用tcpdump / WinDump，Wireshark和許多其他數(shù)據(jù)包捕獲程序捕獲的數(shù)據(jù)包數(shù)據(jù)的文件
4、從包含十六進(jìn)制數(shù)據(jù)包數(shù)據(jù)轉(zhuǎn)儲(chǔ)的文本文件導(dǎo)入數(shù)據(jù)包
5、顯示包含非常詳細(xì)協(xié)議信息的數(shù)據(jù)包
6、保存捕獲的數(shù)據(jù)包數(shù)據(jù)
7、以多種捕獲文件格式導(dǎo)出部分或全部數(shù)據(jù)包
8、根據(jù)許多標(biāo)準(zhǔn)過(guò)濾數(shù)據(jù)包
9、按許多標(biāo)準(zhǔn)搜索數(shù)據(jù)包
10、根據(jù)過(guò)濾器對(duì)數(shù)據(jù)包顯示進(jìn)行著色
11、創(chuàng)建各種統(tǒng)計(jì)數(shù)據(jù)

wireshark快捷鍵

1、Ctrl++增大字體
2、Alt+Right 向前運(yùn)行
3、Ctrl+Q 關(guān)閉
4、Ctrl+T 設(shè)置參考時(shí)間 （標(biāo)定
5、Ctr+P 打印
6、Shift+Ctrl+C 拷貝
7、Crl+S 保存
8、Ctrl+Shift+B 搜索前一個(gè)標(biāo)記的包
9、Shift+Ctrl+P 參數(shù)選擇
10、Ctrl+R重新再如當(dāng)前捕捉文件
11、Ctr+B 搜索前一個(gè)
12、Ctrl+=恢復(fù)正常大小
13、Ctr+O 文件打開
14、Ctrl+N 搜索下一個(gè)
15、Shift+Ctrl+R 已可以分析的協(xié)議列表
16、Ctrl+M 對(duì)數(shù)據(jù)包做標(biāo)記（標(biāo)定）
17、Shift+Ctrl+N 搜索下一個(gè)標(biāo)記的包
18、Ctr+F 搜索數(shù)據(jù)包
19、Shift+Ctrl+S 另存為...
20、Ctrl+K 捕獲參數(shù)選擇
21、Alt+Left 向后運(yùn)行
22、Ctrl+G 轉(zhuǎn)移到某數(shù)據(jù)包
23、Ctrl+Down 下一個(gè)數(shù)據(jù)包
24、Ctrl+UP 前一個(gè)數(shù)據(jù)包
25、Ctrl+W 關(guān)閉文件
26、Ctrl+-縮小字體
27、Ctrl+E 停止捕獲網(wǎng)絡(luò)數(shù)據(jù)
28、Alt+Left歷史中的上一個(gè)分組
29、Alt+Right歷史中的下一個(gè)分組
30、Ctrl+Alt+D取消忽略所有顯示的分.
31、Ctrl+Alt+M取消標(biāo)記所有顯示的分.
32、Ctrl+Alt+T取消設(shè)置所有時(shí)間參考

常見問(wèn)題

一、Wireshark怎么顯示過(guò)濾
1、使用過(guò)濾是非常重要的， 初學(xué)者使用軟件時(shí)，將會(huì)得到大量的冗余信息，在幾千甚至幾萬(wàn)條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉(zhuǎn)向。
2、過(guò)濾器會(huì)幫助我們?cè)诖罅康臄?shù)據(jù)中迅速找到我們需要的信息。
過(guò)濾器有兩種，
一種是顯示過(guò)濾器，就是主界面上那個(gè)，用來(lái)在捕獲的記錄中找到所需要的記錄。
一種是捕獲過(guò)濾器，用來(lái)過(guò)濾捕獲的封包，以免捕獲太多的記錄。 在Capture -> Capture Filters 中設(shè)置。
3、保存過(guò)濾
在Filter欄上，填好Filter的表達(dá)式后，點(diǎn)擊Save按鈕， 取個(gè)名字。比如"Filter 102"。
ilter欄上就多了個(gè)"Filter 102" 的按鈕。
二、怎么抓包？
軟件是捕獲機(jī)器上的某一塊網(wǎng)卡的網(wǎng)絡(luò)包，當(dāng)你的機(jī)器上有多塊網(wǎng)卡的時(shí)候，你需要選擇一個(gè)網(wǎng)卡。
點(diǎn)擊Caputre->Interfaces.. 出現(xiàn)下面對(duì)話框，選擇正確的網(wǎng)卡。然后點(diǎn)擊"Start"按鈕, 開始抓包。
Shift+Ctrl+R已可以分析的協(xié)議列表。
Ctr+Q關(guān)閉。