干货预警！保姆级 Wireshark 入门指南，看完直接上手抓包（附收藏级过滤技巧）

嘿！兄弟们，今天必须给大家安利一款超实用的网络神器 ——Wireshark！不管你是网络工程师、软件测试员，还是对网络技术充满好奇的小白，只要和网络打交道，这玩意儿绝对能让你打开新世界的大门！

不少小伙伴在后台疯狂追问，能不能出一期 Wireshark 的超详细教程，这不，安排上了！

今日文章阅读福利：《Wireshark安装包+报文大全》 

看不懂报文？没事！对照着都能看懂！

联系在线客服发送“鲨鱼”，即可获取，提升你的技术水平。

01 Wireshark 介绍

Wireshark，江湖人称 “小鲨鱼”，是当下超流行的网络封包分析软件。它的功能强大到离谱，能精准截取各种网络封包，还能把封包的详细信息毫无保留地展现在你眼前。

关键是，它还是开源软件，用起来安全又放心，Windows 和 Mac OS 系统都能完美适配。不过要注意，在 Linux 系统下，常用的抓包工具是 tcpdump。而且，想要玩转 Wireshark，对网络协议的了解是必不可少的，不然打开软件就跟看天书一样。

02 Wireshark 抓包原理

Wireshark 之所以能轻松抓取网络数据，靠的是 WinPCAP 这个接口，它能直接和网卡进行数据报文交换。

使用 Wireshark 的环境主要有两种：

l 单机环境：电脑直连网络，Wireshark 直接抓取本机网卡的网络流量，简单直接；

l 网络环境（连接交换机）：这种情况更常见，Wireshark 需要通过端口镜像、ARP 欺骗等手段来获取局域网中的网络流量。

1. 端口镜像：利用交换机的接口，把局域网的网络流量转发到指定电脑的网卡上，就像给数据开了个绿色通道；

2. ARP 欺骗：交换机是根据 MAC 地址转发数据的，Wireshark 通过伪装其他终端的 MAC 地址，骗取局域网的网络流量。

03 Wireshark 抓包示例

光说不练假把式，咱们先来个简单的抓包示例 —— 抓取 ping 命令的操作过程，跟着步骤走，轻松上手！

1. 打开 Wireshark，主界面就展现在眼前；

2. 选择菜单栏上的 “捕获” -> “选项”，根据自己电脑网卡的使用情况勾选对应的网卡（简单的办法是看使用的 IP 对应的网卡），然后点击 “Start”，启动抓包；

3. 这时候，Wireshark 就开始 “工作” 了，处于抓包状态；

4. 打开 cmd 窗口，输入 “ping www.baidu.com”，执行需要抓包的操作；

5. 操作完成后，点击 “停止捕获分组” 按钮，相关数据包就成功抓取到了；

为了更方便地分析数据，避免其他无用数据包的干扰，可以在过滤栏设置过滤条件，比如输入 “ip.addr == 110.242.69.21 and icmp”，这样就只显示 ICPM 协议且主机 IP 为 110.242.69.21 的数据包了（注意，协议名称 icmp 要小写）；

最后，把本次抓包或者分析的结果保存起来，就这么简单！

关于 Wireshark 的显示过滤条件、抓包过滤条件，以及如何查看数据包中的详细内容，后面再详细介绍。

04 Wireshark 抓包界面介绍

Wireshark 的主界面一共包含 6 个部分：

1. 菜单栏：用于调试、配置软件，就像软件的 “大脑中枢”；

2. 工具栏：集合了常用功能的快捷方式，操作起来更方便；

3. 过滤栏：在这里指定过滤条件，快速筛选出需要的数据包；

4. 数据包列表：这是核心区域，每一行代表一个数据包，所有抓取到的数据都在这里展示；

5. 数据包详情：显示数据包的详细数据，帮助我们深入了解数据包的内容；

6. 数据包字节：展示数据包对应的字节流，也就是二进制数据。

而且，数据包列表区中不同的协议还用了不同的颜色区分，看起来一目了然。协议颜色标识可以在菜单栏的 “视图” --> “着色规则” 中进行定位和设置。

WireShark 主要分为以下几个界面：

Display Filter (显示过滤器)：用于设置过滤条件，对数据包列表进行过滤，菜单路径是 “分析” --> “Display Filters”；

Packet List Pane (数据包列表)：显示捕获到的所有数据包，每个数据包都包含编号、时间戳、源地址、目标地址、协议、长度等信息，不同协议的数据包还会用不同颜色区分显示；

Packet Details Pane (数据包详细信息)：在数据包列表中选中某个数据包，这里就会显示它的所有详细内容，是查看协议字段的重要区域，包含物理层、数据链路层、互联网层、传输层、应用层等各层信息；

Dissector Pane (数据包字节区)：展示报文的原始内容。

05 Wireshark 分析常用操作

最后再分享一个小技巧，调整数据包列表中时间戳的显示格式。操作方法很简单，在菜单栏选择 “视图” --> “时间显示格式” --> “日期和时间”，调整后的格式看起来更清晰明了。

而且，Wireshark 还能和各主流厂家的模拟器一起使用，在项目准确配置方面更有优势！

看到这儿，相信大家对 Wireshark 已经有了初步的了解。赶紧动手试试，说不定你也能成为网络抓包分析的高手！