本文僅用于技術研究，禁止用于非法用途。

Wireshark入門指南：從零開始掌握網絡抓包分析

一、Wireshark是什么？

Wireshark 是全球最受歡迎的開源網絡協議分析工具，被廣泛應用于網絡故障排查、協議學習、網絡安全分析等領域。它支持Windows、macOS和Linux系統，能夠實時捕獲并深度解析數千種網絡協議（如TCP/IP、HTTP、DNS等），并以可視化方式呈現數據包細節。

核心功能亮點

• 實時抓包：監聽網卡流量，捕獲經過設備的網絡數據
• 協議解析：自動解碼HTTP、TCP/IP、SSL/TLS等協議頭部信息
• 過濾系統：支持顯示過濾（Display Filters）和捕獲過濾（Capture Filters）
• 統計分析：生成流量趨勢圖、會話列表、協議分布統計等
• 文件導出：支持將抓包數據保存為PCAP、CSV、JSON等多種格式

---

二、Wireshark安裝教程（全平臺）

1?? Windows系統安裝

步驟1：下載安裝包
訪問官網 https://www.wireshark.org → 點擊 “Download” → 選擇 Windows 安裝包（64位推薦）。
步驟2：運行安裝向導

• 勾選安裝組件時務必勾選 Npcap（提供底層抓包驅動）
• 建議選擇默認安裝路徑（C:\Program Files\Wireshark）
• 勾選 “Desktop Icon” 創建桌面快捷方式
  步驟3：驗證安裝
  雙擊桌面圖標啟動Wireshark，若看到可用網卡列表（如以太網、Wi-Fi），則安裝成功。

---

2?? macOS系統安裝

方法一：通過Homebrew

brew install --cask wireshark

方法二：手動下載DMG

1. 官網下載macOS安裝包 → 打開.dmg文件拖拽到Applications文件夾
2. 首次啟動需授權：

sudo chmod 755 /dev/bpf*

---

3?? Linux系統安裝

Debian/Ubuntu

sudo apt update && sudo apt install wireshark

安裝時選擇 “Yes” 允許非root用戶抓包。
CentOS/RHEL

sudo yum install wireshark

---

三、第一次使用Wireshark

1. 選擇網卡：啟動后雙擊正在活動的接口（如 “Wi-Fi” 或 “eth0”）
2. 開始抓包：點擊左上角藍色鯊魚鰭圖標 ??
3. 停止抓包：點擊紅色方形按鈕 ??
4. 過濾流量：在過濾欄輸入表達式（如 http 或 ip.addr == 192.168.1.1）
5. 查看詳情：單擊數據包可展開協議層級結構

---

四、新手必知技巧

? 快速過濾：右鍵數據包 → Apply as Filter
? 追蹤TCP流：右鍵數據包 → Follow → TCP Stream
? 快捷鍵：

• Ctrl+E 開始/停止抓包
• Ctrl+F 搜索數據包內容

---

五、頁面介紹

雙擊打開后的頁面如下:
wireshark捕獲經過網口的包

可以通過流量波動進行判斷
抓不同的包進不同的連接方式

核心頁面介紹，主要分為3大板塊：

• 分組列表：把流量以分組的形式，簡單的呈現出來
  

• 分組詳情：把流量以TCP/IP 5層模型形式展現出來
  
  
  
  
  我們80%的時候是分析應用層

• 分組字節流：16進制—2進制信息
  16進制轉化為2進制信息:右擊——as bits
  

六、工具欄介紹

六、菜單欄介紹

文件：打開之前的包，合并數據包，ctf中我們常用到的導出對象

視圖——著色規則。我們可以改變它的不同流量的顏色

視圖——時間格式。我們可以改變時間格式

統計—只有這兩個比較重要

先看我們的協議分級里面有數據包各個協議的占比

看我們的會話里面包含了每次會話的握手記錄

右擊流量包（這個里面的功能比較重要）

我們可以打開追蹤流——>TCP/HTTP協議
就可以找到我們具體的請求響應數據包了

過濾，我們可以選擇我們篩選的地方，右鍵，安下圖操作進行過濾與非過濾選項

自動過濾我們的條件

下面就幾個用處不大

注：本文遵循CSDN社區內容規范，不涉及具體攻擊實現，重點探討工具教學防御方法論。