1.Wireshark 簡介

Wireshark 是一款開源的網(wǎng)絡(luò)協(xié)議分析工具，支持實(shí)時抓包、協(xié)議解析、流量統(tǒng)計等功能，廣泛用于網(wǎng)絡(luò)故障排查、安全分析、協(xié)議學(xué)習(xí)等領(lǐng)域。

2.下載與安裝

1. 下載地址

• 官網(wǎng)下載：訪問 Wireshark 官網(wǎng)，選擇對應(yīng)操作系統(tǒng)的安裝包：
  • Windows：.exe 安裝程序（推薦穩(wěn)定版 Stable Release）。
  • macOS：.dmg 鏡像文件。
  • Linux：通過包管理器安裝（如 apt install wireshark）。

2. 安裝步驟（以 Windows 為例）

1. 雙擊安裝包，按向?qū)瓿砂惭b。
2. 勾選 Install WinPcap/Npcap（必須安裝，用于捕獲網(wǎng)絡(luò)接口數(shù)據(jù)）。
3. 安裝完成后，以管理員權(quán)限啟動 Wireshark（否則無法抓包）。

3. 界面與核心功能

1. 主界面布局

區(qū)域	功能說明
菜單欄	包含文件操作、捕獲控制、分析工具等核心功能。
工具欄	快速訪問開始/停止捕獲、過濾表達(dá)式輸入等。
接口列表	顯示所有可用的網(wǎng)絡(luò)接口及其實(shí)時流量統(tǒng)計。
捕獲數(shù)據(jù)面板	顯示捕獲的數(shù)據(jù)包列表，包含時間、源/目的地址、協(xié)議、長度等基本信息。
協(xié)議詳情面板	展開單個數(shù)據(jù)包，逐層解析協(xié)議頭部和載荷內(nèi)容（如 Ethernet → IP → TCP → HTTP）。
字節(jié)流面板	以十六進(jìn)制和 ASCII 格式顯示原始字節(jié)流。

2. 常用菜單功能

• File：打開/保存捕獲文件（.pcapng 格式）、導(dǎo)出特定數(shù)據(jù)包。
• Edit：查找數(shù)據(jù)包、標(biāo)記關(guān)鍵幀。
• View：調(diào)整顯示布局、著色規(guī)則（按協(xié)議或過濾條件高亮）。
• Capture：選擇接口、設(shè)置捕獲過濾器。
• Analyze：跟蹤 TCP 流、啟用協(xié)議解析統(tǒng)計。

4. 過濾功能詳解

1. 過濾類型

類型	作用階段	語法示例	應(yīng)用場景
捕獲過濾器	抓包前	tcp port 80	減少捕獲數(shù)據(jù)量，聚焦目標(biāo)流量。
顯示過濾器	抓包后分析	http.request.method == "GET"	快速定位特定協(xié)議或行為。

2. 常用過濾命令

協(xié)議過濾

tcp          # 僅顯示 TCP 協(xié)議數(shù)據(jù)包
udp          # 僅顯示 UDP 協(xié)議數(shù)據(jù)包
http         # 過濾 HTTP 請求/響應(yīng)
dns          # 過濾 DNS 查詢與響應(yīng)

IP 與端口過濾

ip.src == 192.168.1.100    # 源 IP 地址
ip.dst == 10.0.0.1         # 目的 IP 地址
tcp.port == 443            # TCP 端口 443（HTTPS）
udp.port range 1000-2000   # UDP 端口范圍

邏輯運(yùn)算符

&&      # 邏輯與（如 `tcp && ip.addr == 192.168.1.1`）
||      # 邏輯或（如 `http || dns`）
!       # 邏輯非（如 `!arp`）

高級過濾

tcp.flags.syn == 1         # 過濾 TCP SYN 標(biāo)志包
http.request.method == "POST"  # HTTP POST 請求
frame contains "password"  # 數(shù)據(jù)包內(nèi)容包含關(guān)鍵字

5. 過濾命令與網(wǎng)絡(luò)結(jié)構(gòu)對應(yīng)

過濾條件	對應(yīng)網(wǎng)絡(luò)層	應(yīng)用案例
eth.addr	數(shù)據(jù)鏈路層	分析 MAC 地址通信問題。
ip.addr / ip.ttl	網(wǎng)絡(luò)層（IP）	定位 IP 地址沖突或 TTL 超時。
tcp.port / udp.port	傳輸層（TCP/UDP）	排查端口占用或防火墻攔截。
http / dns	應(yīng)用層	分析 Web 請求或域名解析異常。

6. 使用注意事項(xiàng)

1. 權(quán)限問題：需以管理員/root 權(quán)限運(yùn)行，否則無法捕獲數(shù)據(jù)。
2. 性能影響：在高流量場景下，實(shí)時抓包可能導(dǎo)致 CPU/內(nèi)存占用過高。
3. 隱私保護(hù)：避免捕獲敏感信息（如密碼），抓包后及時清理文件。
4. 過濾優(yōu)化：優(yōu)先使用捕獲過濾器減少數(shù)據(jù)量，再結(jié)合顯示過濾器分析。
5. 文件保存：定期保存 .pcapng 文件，防止意外關(guān)閉導(dǎo)致數(shù)據(jù)丟失。

7. 案例分析 TCP 三次握手

1. 實(shí)驗(yàn)?zāi)繕?biāo)

驗(yàn)證 TCP 連接的建立過程（SYN → SYN-ACK → ACK）。

2. 操作步驟

1. 啟動捕獲：

   • 選擇接口（如以太網(wǎng)或 Wi-Fi），點(diǎn)擊工具欄 鯊魚鰭圖標(biāo) 開始抓包。
   • 設(shè)置顯示過濾器：tcp && ip.addr == [目標(biāo)服務(wù)器IP]（如訪問百度：tcp && ip.addr == 180.101.49.12）。

2. 觸發(fā)通信：

   • 在瀏覽器訪問目標(biāo)網(wǎng)站（如 www.baidu.com），生成 TCP 連接請求。

3. 分析數(shù)據(jù)包：

   • 停止捕獲，在數(shù)據(jù)包列表中查找 三次握手 過程：
     • SYN（Flags: SYN）：客戶端發(fā)起連接請求。
     • SYN-ACK（Flags: SYN, ACK）：服務(wù)器響應(yīng)確認(rèn)。
     • ACK（Flags: ACK）：客戶端確認(rèn)建立連接。
   • 右鍵點(diǎn)擊任一握手包，選擇 Follow → TCP Stream，查看完整會話。

4. 關(guān)鍵字段解讀：

   • Sequence Number：初始序列號（ISN），每次握手遞增。
   • Acknowledgment Number：確認(rèn)對方序列號 + 1。
   • Flags：SYN、ACK 標(biāo)志位的變化。

3. 預(yù)期結(jié)果

成功捕獲三個連續(xù)數(shù)據(jù)包，標(biāo)志位依次為 SYN → SYN-ACK → ACK，序列號符合邏輯遞增，證明 TCP 連接正常建立。

8. 擴(kuò)展學(xué)習(xí)

• 高級協(xié)議解析：通過 Analyze → Decode As 自定義協(xié)議解析規(guī)則。
• 統(tǒng)計工具：使用 Statistics → Protocol Hierarchy 查看流量占比。
• 自動化腳本：結(jié)合 tshark（命令行版 Wireshark）批量分析數(shù)據(jù)。