好的,我给你整理一份 Wireshark 零基础入门教程(超详细),从安装到抓包分析全流程,适合初学者快速上手。
📌 Wireshark 零基础使用教程(入门篇)
1️⃣ 什么是 Wireshark?
Wireshark 是世界上最流行的 网络抓包和协议分析工具,可以帮助你:
- 捕获网络上经过的所有数据包
- 分析网络通信协议
- 排查网络问题(慢、掉包、异常流量)
- 学习网络协议原理
支持操作系统:Windows / macOS / Linux
2️⃣ 安装 Wireshark
Windows
- 下载官网安装包:https://www.wireshark.org/download.html
- 双击安装,按默认选项即可。
- 勾选 WinPcap 或 Npcap(用于捕获数据包,强烈建议选择 Npcap)。
- 安装完成后,桌面会有 Wireshark 图标。
macOS
brew install --cask wireshark
安装后可能需要给 Wireshark 网络抓包权限(系统偏好设置 → 安全与隐私 → 授权)。
Linux
Debian/Ubuntu:
sudo apt update
sudo apt install wireshark
安装完成后,非 root 用户抓包可能需要加入 wireshark 用户组:
sudo usermod -aG wireshark $USER
注销再登录即可。
3️⃣ Wireshark 基础界面介绍
打开 Wireshark,你会看到:
- 菜单栏:File / Edit / Capture / Analyze…
- 工具栏:快速开始抓包、停止抓包
- 接口列表(Capture Interfaces):显示当前可抓包的网络接口
- 抓包窗口:捕获的数据包列表
- 包详情:选中某个数据包,显示协议分层信息
- 十六进制 / 原始数据窗口:显示原始数据内容
4️⃣ 开始抓包
- 选择网络接口(如 Wi-Fi 或有线网卡)
- 点击 Start(开始)
- Wireshark 会实时显示网络流量,每一行是一个数据包
⚠️ 注意:抓包数据量很大,可能包含敏感信息(密码、cookie 等),请合法使用。
5️⃣ 抓包过滤
捕获过滤器(Capture Filter)
- 用于 控制抓取哪些数据包,抓包前设置
- 例子:
host 192.168.1.100 # 只抓和该IP通信的数据包 tcp port 80 # 只抓 TCP 80 端口的数据包 - 捕获过滤器必须在开始抓包前设置。
显示过滤器(Display Filter)
- 用于 显示已抓到的数据包
- 更灵活,可随时修改
- 常用示例:
ip.addr == 192.168.1.100 # IP 地址过滤 tcp.port == 443 # TCP 443 端口过滤 http # 显示 HTTP 协议包 dns # 显示 DNS 协议包
捕获过滤器是“抓”,显示过滤器是“看”。
6️⃣ 分析数据包
常用分析方法
- 查看 TCP 三次握手
- 显示过滤器:
tcp.port==80或tcp.flags.syn==1 - 可观察 SYN / SYN-ACK / ACK 的过程
- 显示过滤器:
- HTTP 请求分析
- 显示过滤器:
http - 查看请求 URL、方法、返回状态码、响应内容
- 显示过滤器:
- DNS 查询
- 显示过滤器:
dns - 查看域名解析请求和响应
- 显示过滤器:
- TCP 流重组
- 右键数据包 →
Follow→TCP Stream - 可以看到整个会话的数据内容
- 右键数据包 →
7️⃣ 保存和导出抓包
- 保存:
File → Save As,格式可选.pcapng - 导出:
- 仅导出选中的数据包
- 导出为 CSV、JSON 等格式分析
8️⃣ 实用小技巧
- 统计功能
Statistics → Protocol Hierarchy:查看抓到的协议占比Statistics → Conversations:查看 IP / 端口通信关系
- 颜色规则
- Wireshark 默认有颜色,方便快速识别不同协议
- 可自定义:
View → Coloring Rules
- 快捷键
Ctrl+E:开始/停止抓包Ctrl+F:搜索数据包Ctrl+Shift+P:显示包详情
9️⃣ 入门学习路线
- 学会抓取 HTTP、DNS、TCP 三次握手
- 学会使用显示过滤器精确查找数据包
- 学会使用 Follow TCP/UDP Stream 查看完整会话
- 了解 Wireshark 统计工具,掌握流量分析
- 进阶学习协议解析(如 HTTPS/TLS、MQTT、SIP 等)
明白了,我可以帮你整理成一份 《Wireshark 新手必备过滤器大全 + 快速抓包技巧》PDF 版,内容会包括:
PDF 内容结构(示例)
1️⃣ Wireshark 基础操作
- 安装方法(Windows / macOS / Linux)
- 基本界面介绍
- 开始抓包与停止抓包
- 保存和导出抓包文件
2️⃣ 捕获过滤器(Capture Filter)
| 过滤器 | 说明 |
|---|---|
host 192.168.1.100 | 抓取指定 IP 的数据包 |
net 192.168.1.0/24 | 抓取指定网段的数据包 |
tcp port 80 | 抓取 TCP 80 端口的数据包 |
udp port 53 | 抓取 DNS 查询数据包 |
3️⃣ 显示过滤器(Display Filter)
| 显示过滤器 | 功能 |
|---|---|
ip.addr == 192.168.1.100 | 显示指定 IP 数据包 |
tcp.port == 443 | 显示 TCP 443 端口数据包 |
http | 显示 HTTP 协议数据包 |
dns | 显示 DNS 协议数据包 |
tcp.flags.syn==1 | 显示 TCP SYN 包(握手开始) |
tcp.flags.reset==1 | 显示 TCP RST 包 |
4️⃣ 数据包分析技巧
- Follow TCP/UDP Stream(查看完整会话)
- 分析 HTTP 请求与响应
- DNS 查询与解析分析
- TCP 三次握手及四次挥手分析
5️⃣ 高级技巧
- 使用统计功能(Protocol Hierarchy / Conversations / Endpoints)
- 自定义颜色规则区分不同协议
- 快捷键列表:
Ctrl+E:开始/停止抓包Ctrl+F:查找数据包Ctrl+Shift+P:显示包详情
6️⃣ 学习路线推荐
- 学会抓取常见协议(HTTP、DNS、TCP)
- 熟练使用显示过滤器定位问题
- 学会会话跟踪与流量分析
- 学习进阶协议分析(TLS/HTTPS、MQTT、SIP)