Wireshark 介紹
Wireshark 是一款開源的 網絡協議分析工具（Packet Sniffer），用于捕獲和分析網絡數據包。它支持多種協議解析，適用于網絡調試、安全分析、網絡教學等場景。
官網：https://www.wireshark.org/
特點：
? 跨平臺（Windows/macOS/Linux）
? 支持 2000+ 種協議解析
? 圖形化界面 + 命令行工具（tshark）
? 可實時抓包或分析離線抓包文件（.pcap）

📌 Wireshark 基本使用

1. 安裝 Wireshark
   Windows：官網下載安裝包，安裝時勾選 WinPcap/Npcap（抓包驅動）。

Linux（Debian/Ubuntu）：

bash
sudo apt install wireshark
sudo usermod -aG wireshark $USER # 讓當前用戶有權限抓包
macOS：通過 brew 安裝：

bash
brew install wireshark
2. 選擇網卡 & 開始抓包
啟動 Wireshark，選擇要監聽的網絡接口（如 eth0、Wi-Fi）。
https://www.wireshark.org/docs/wsug_html/_images/wsug_graphics/capture_interfaces.png

點擊 “Start” 開始抓包。

停止抓包：點擊紅色方塊按鈕。

3. 過濾數據包
   Wireshark 支持強大的過濾語法，快速定位關鍵流量：

只顯示 HTTP 流量：

text
http
過濾特定 IP：

text
ip.src == 192.168.1.1 || ip.dst == 192.168.1.1
過濾 TCP 端口（如 443）：

text
tcp.port == 443
組合條件：

text
http and ip.src == 192.168.1.100
4. 分析數據包
點擊數據包：查看協議層級（如 Ethernet → IP → TCP → HTTP）。

Follow TCP Stream（右鍵數據包 → Follow → TCP Stream）：查看完整會話（如 HTTP 請求/響應）。

統計工具：

Statistics → Protocol Hierarchy：流量協議分布。

Statistics → Conversations：查看通信對端（IP/端口）。

5. 保存 & 導出數據
   保存抓包文件：
   File → Save As…（格式：.pcap 或 .pcapng）。

導出特定數據：
右鍵數據包 → Export Packet Bytes（可提取文件、圖片等）。

🔧 高級功能

1. 命令行抓包（tshark）
   bash
   tshark -i eth0 -f “tcp port 80” -w output.pcap # 抓取 HTTP 流量
   tshark -r input.pcap -Y “http” # 讀取 pcap 文件并過濾

2. 解密 HTTPS 流量
   需配置瀏覽器或服務器導出的 SSL/TLS 密鑰：
   Edit → Preferences → Protocols → TLS → (Pre)-Master-Secret log filename

3. 自定義協議解析
   使用 Lua 腳本擴展協議解析：
   Tools → Lua Console

示例腳本目錄：/usr/share/wireshark/plugins/

?? 注意事項
合法使用：未經授權抓取他人網絡流量可能違法！

性能影響：高速網絡下抓包可能導致丟包，可調整緩沖大小。

隱私保護：避免捕獲敏感信息（如密碼），抓包后及時清理。

📚 學習資源
官方文檔：Wireshark User’s Guide

書籍推薦：

《Wireshark網絡分析實戰》

《Wireshark抓包藝術》

💡 總結
基礎流程：選擇網卡 → 抓包 → 過濾 → 分析。

高級技巧：命令行抓包、HTTPS 解密、自定義協議。

適用場景：網絡故障排查、安全分析、協議學習。