好的,我给你整理一份 Wireshark 零基础入门教程(超详细),从安装到抓包分析全流程,适合初学者快速上手。

📌 Wireshark 零基础使用教程(入门篇)

1️⃣ 什么是 Wireshark?

Wireshark 是世界上最流行的 网络抓包和协议分析工具,可以帮助你:

  • 捕获网络上经过的所有数据包
  • 分析网络通信协议
  • 排查网络问题(慢、掉包、异常流量)
  • 学习网络协议原理

支持操作系统:Windows / macOS / Linux

2️⃣ 安装 Wireshark

Windows

  1. 下载官网安装包:https://www.wireshark.org/download.html
  2. 双击安装,按默认选项即可。
  3. 勾选 WinPcap 或 Npcap(用于捕获数据包,强烈建议选择 Npcap)。
  4. 安装完成后,桌面会有 Wireshark 图标。

macOS

brew install --cask wireshark

安装后可能需要给 Wireshark 网络抓包权限(系统偏好设置 → 安全与隐私 → 授权)。

Linux

Debian/Ubuntu:

sudo apt update
sudo apt install wireshark

安装完成后,非 root 用户抓包可能需要加入 wireshark 用户组:

sudo usermod -aG wireshark $USER

注销再登录即可。

3️⃣ Wireshark 基础界面介绍

打开 Wireshark,你会看到:

  1. 菜单栏:File / Edit / Capture / Analyze…
  2. 工具栏:快速开始抓包、停止抓包
  3. 接口列表(Capture Interfaces):显示当前可抓包的网络接口
  4. 抓包窗口:捕获的数据包列表
  5. 包详情:选中某个数据包,显示协议分层信息
  6. 十六进制 / 原始数据窗口:显示原始数据内容

4️⃣ 开始抓包

  1. 选择网络接口(如 Wi-Fi 或有线网卡)
  2. 点击 Start(开始)
  3. Wireshark 会实时显示网络流量,每一行是一个数据包

⚠️ 注意:抓包数据量很大,可能包含敏感信息(密码、cookie 等),请合法使用。

5️⃣ 抓包过滤

捕获过滤器(Capture Filter)

  • 用于 控制抓取哪些数据包,抓包前设置
  • 例子: host 192.168.1.100 # 只抓和该IP通信的数据包 tcp port 80 # 只抓 TCP 80 端口的数据包
  • 捕获过滤器必须在开始抓包前设置。

显示过滤器(Display Filter)

  • 用于 显示已抓到的数据包
  • 更灵活,可随时修改
  • 常用示例: ip.addr == 192.168.1.100 # IP 地址过滤 tcp.port == 443 # TCP 443 端口过滤 http # 显示 HTTP 协议包 dns # 显示 DNS 协议包

捕获过滤器是“抓”,显示过滤器是“看”。

6️⃣ 分析数据包

常用分析方法

  1. 查看 TCP 三次握手
    • 显示过滤器:tcp.port==80tcp.flags.syn==1
    • 可观察 SYN / SYN-ACK / ACK 的过程
  2. HTTP 请求分析
    • 显示过滤器:http
    • 查看请求 URL、方法、返回状态码、响应内容
  3. DNS 查询
    • 显示过滤器:dns
    • 查看域名解析请求和响应
  4. TCP 流重组
    • 右键数据包 → FollowTCP Stream
    • 可以看到整个会话的数据内容

7️⃣ 保存和导出抓包

  • 保存:File → Save As,格式可选 .pcapng
  • 导出:
    • 仅导出选中的数据包
    • 导出为 CSV、JSON 等格式分析

8️⃣ 实用小技巧

  1. 统计功能
    • Statistics → Protocol Hierarchy:查看抓到的协议占比
    • Statistics → Conversations:查看 IP / 端口通信关系
  2. 颜色规则
    • Wireshark 默认有颜色,方便快速识别不同协议
    • 可自定义:View → Coloring Rules
  3. 快捷键
    • Ctrl+E:开始/停止抓包
    • Ctrl+F:搜索数据包
    • Ctrl+Shift+P:显示包详情

9️⃣ 入门学习路线

  1. 学会抓取 HTTP、DNS、TCP 三次握手
  2. 学会使用显示过滤器精确查找数据包
  3. 学会使用 Follow TCP/UDP Stream 查看完整会话
  4. 了解 Wireshark 统计工具,掌握流量分析
  5. 进阶学习协议解析(如 HTTPS/TLS、MQTT、SIP 等)

明白了,我可以帮你整理成一份 《Wireshark 新手必备过滤器大全 + 快速抓包技巧》PDF 版,内容会包括:

PDF 内容结构(示例)

1️⃣ Wireshark 基础操作

  • 安装方法(Windows / macOS / Linux)
  • 基本界面介绍
  • 开始抓包与停止抓包
  • 保存和导出抓包文件

2️⃣ 捕获过滤器(Capture Filter)

过滤器说明
host 192.168.1.100抓取指定 IP 的数据包
net 192.168.1.0/24抓取指定网段的数据包
tcp port 80抓取 TCP 80 端口的数据包
udp port 53抓取 DNS 查询数据包

3️⃣ 显示过滤器(Display Filter)

显示过滤器功能
ip.addr == 192.168.1.100显示指定 IP 数据包
tcp.port == 443显示 TCP 443 端口数据包
http显示 HTTP 协议数据包
dns显示 DNS 协议数据包
tcp.flags.syn==1显示 TCP SYN 包(握手开始)
tcp.flags.reset==1显示 TCP RST 包

4️⃣ 数据包分析技巧

  • Follow TCP/UDP Stream(查看完整会话)
  • 分析 HTTP 请求与响应
  • DNS 查询与解析分析
  • TCP 三次握手及四次挥手分析

5️⃣ 高级技巧

  • 使用统计功能(Protocol Hierarchy / Conversations / Endpoints)
  • 自定义颜色规则区分不同协议
  • 快捷键列表:
    • Ctrl+E:开始/停止抓包
    • Ctrl+F:查找数据包
    • Ctrl+Shift+P:显示包详情

6️⃣ 学习路线推荐

  • 学会抓取常见协议(HTTP、DNS、TCP)
  • 熟练使用显示过滤器定位问题
  • 学会会话跟踪与流量分析
  • 学习进阶协议分析(TLS/HTTPS、MQTT、SIP)