WireShark网络抓包—详细教程
本文仅用于技术研究,禁止用于非法用途。
Wireshark入门指南:从零开始掌握网络抓包分析
一、Wireshark是什么?
Wireshark 是全球最受欢迎的开源网络协议分析工具,被广泛应用于网络故障排查、协议学习、网络安全分析等领域。它支持Windows、macOS和Linux系统,能够实时捕获并深度解析数千种网络协议(如TCP/IP、HTTP、DNS等),并以可视化方式呈现数据包细节。
核心功能亮点
- 实时抓包:监听网卡流量,捕获经过设备的网络数据
- 协议解析:自动解码HTTP、TCP/IP、SSL/TLS等协议头部信息
- 过滤系统:支持显示过滤(Display Filters)和捕获过滤(Capture Filters)
- 统计分析:生成流量趋势图、会话列表、协议分布统计等
- 文件导出:支持将抓包数据保存为PCAP、CSV、JSON等多种格式
二、Wireshark安装教程(全平台)
1️⃣ Windows系统安装
步骤1:下载安装包
访问官网 https://www.wireshark.org → 点击 “Download” → 选择 Windows 安装包(64位推荐)。
步骤2:运行安装向导
- 勾选安装组件时务必勾选 Npcap(提供底层抓包驱动)
- 建议选择默认安装路径(C:\Program Files\Wireshark)
- 勾选 “Desktop Icon” 创建桌面快捷方式
步骤3:验证安装
双击桌面图标启动Wireshark,若看到可用网卡列表(如以太网、Wi-Fi),则安装成功。
2️⃣ macOS系统安装
方法一:通过Homebrew
brew install --cask wireshark
方法二:手动下载DMG
- 官网下载macOS安装包 → 打开.dmg文件拖拽到Applications文件夹
- 首次启动需授权:
sudo chmod 755 /dev/bpf*
3️⃣ Linux系统安装
Debian/Ubuntu
sudo apt update && sudo apt install wireshark
安装时选择 “Yes” 允许非root用户抓包。
CentOS/RHEL
sudo yum install wireshark
三、第一次使用Wireshark
- 选择网卡:启动后双击正在活动的接口(如 “Wi-Fi” 或 “eth0”)
- 开始抓包:点击左上角蓝色鲨鱼鳍图标 ▶️
- 停止抓包:点击红色方形按钮 ⏹️
- 过滤流量:在过滤栏输入表达式(如 http 或 ip.addr == 192.168.1.1)
- 查看详情:单击数据包可展开协议层级结构
四、新手必知技巧
✅ 快速过滤:右键数据包 → Apply as Filter
✅ 追踪TCP流:右键数据包 → Follow → TCP Stream
✅ 快捷键:
- Ctrl+E 开始/停止抓包
- Ctrl+F 搜索数据包内容
五、页面介绍
双击打开后的页面如下:
wireshark捕获经过网口的包
可以通过流量波动进行判断
抓不同的包进不同的连接方式
核心页面介绍,主要分为3大板块:
-
分组列表:把流量以分组的形式,简单的呈现出来
-
分组详情:把流量以TCP/IP 5层模型形式展现出来
我们80%的时候是分析应用层
-
分组字节流:16进制—2进制信息
16进制转化为2进制信息:右击——as bits
六、工具栏介绍
六、菜单栏介绍
文件:打开之前的包,合并数据包,ctf中我们常用到的导出对象
视图——着色规则。我们可以改变它的不同流量的颜色
视图——时间格式。我们可以改变时间格式
统计—只有这两个比较重要
先看我们的协议分级里面有数据包各个协议的占比
看我们的会话里面包含了每次会话的握手记录
右击流量包(这个里面的功能比较重要)
我们可以打开追踪流——>TCP/HTTP协议
就可以找到我们具体的请求响应数据包了
过滤,我们可以选择我们筛选的地方,右键,安下图操作进行过滤与非过滤选项
自动过滤我们的条件
下面就几个用处不大
注:本文遵循CSDN社区内容规范,不涉及具体攻击实现,重点探讨工具教学防御方法论。