学习TCP/IP等网络协议时异常枯燥，因为网络问题看不见摸不着，很难深入理解其工作原理，而Wireshark正是将这些知识以一种网络数据包、可视化的形式呈现给大家，接下来博主带大家掌握Wireshark的必备技能！如有任何疑问，欢迎评论区留言~

1. Wireshark简介

Wireshark是一款最流行和强大的免费开源数据包抓包与分析工具，它通过调用PCAP来抓取网卡上的上下行网络数据包，并且可以查看网络数据包详细信息。

Wireshark在网络安全与取证分析中发挥重大作用，作为一款网络数据嗅探与协议分析器，已经成为网络运行管理、网络故障诊断、网络应用开发与调试的必用工具。

2. 界面功能介绍

wireshark有四个关键面板，具体功能介绍如下：

• 1. 显示过滤器（Display Filter）：用于设置过滤条件进行数据包列表过滤；
• 2. 数据包列表（Packet List）：显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。
• 3. 数据包详细信息（Packet Details Pane）：在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为
• Frame：物理层的数据帧概况；
• Ethernet II：数据链路层以太网帧头部信息；
• Internet Protocol Version 4：网络层IP包头部信息；
• Transmission Control Protocol：传输层TCP的数据段头部信息，此处是TCP；
• Hypertext Transfer Protocol：应用层的信息，此处是HTTP协议。
• 4. 数据包字节（Packet Bytes）：此面板显示了数据包原始字节信息，每行包含数据偏移量、十六个十六进制字节和十六个ASCII字节。不可打印的字节将替换为句点（“.”）。

3. 必知使用技巧

3.1. 两种方式启动数据包捕获

方式一：菜单栏选择『捕获（Capture）』->『选项（Options）』，设置要捕获的网络适配器，点击『开始』即可启动数据包捕获。

为了精确捕获需要的数据包，我们可在捕获过滤器中输入捕获表达式。假设我们想要仅捕获进出IP地址172.18.5.4的流量，对应表达式为：host 172.18.5.4。

若想了解更多显示过滤器和捕获过滤器的语法和样例，可以参阅文末官方文档（附下载链接）。

注：捕获过滤器是提前设置好的过滤规则，只捕获符合过滤规则的报文，而先前介绍的显示过滤器是针对已经捕获的报文，过滤出符合过滤规则的报文。

方式二（推荐）：在上述『捕获』菜单栏中进行的操作也可以在工具栏进行，我比较喜欢用此方式，方便快捷。

3.2. 双击数据包列表中的记录可快速查看数据包详情

双击每一行记录，可以在弹窗中查看数据包详细信息。

HTTP请求是『请求-响应』式的，需求查看对应请求的响应时，可以在选中的数据包条目上右键，选择Follow -> HTTP Stream

3.3. 通过数据包符号提示快速搞清数据包用途

不同的数据包符号含义不同，记住这些符号对应的含义可以更快捷的找到你要分析定位的数据包。

举例说明：如下图所示，选中357数据包后，356数据包前面出现✓，表明357是对356数据包的确认。

3.4. 熟悉数据包着色规则方便快速区分数据所属协议

数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏『View（视图）』–>『Coloring Rules（着色规则）』。

如下所示，可快速根据着色规则，筛选需要的数据。可以粗略地看到，黑色背景代表报文的各类错误，红色背景代表各类异常情景，其它颜色代表正常。

比如黑色背景的Bad TCP：tcp.analysis.flags && !tcp.analysis.window_update代表了TCP解析出错，通常重传，乱序，丢包，重复响应都在此条规则的范围内。

由于篇幅有限，若想了解更多Wireshark使用技巧可以参阅如下官方文档：

• Wireshark 用户操作指导手册 V4.5.0.pdf (共374页，下载链接：https://url25.ctfile.com/f/1848625-1353605735-b696cf?p=6277，访问密码: 6277)