wireshark(网络分析工具) v3.4.8绿色便携版 附使用教程

wireshark中文版是一款非常强大的网络封包协议分析软件，支持上百种协议和媒体内容，比如使用GNU GPL通用许可证的保障范围下，用户能够免费获得软件的程式码，并拥有针对其原始码修改以及客制化的权利，从以太网、IEEE 802.11、PPP/HDLC、ATM等协议中读取实时数据，捕获的网络数据能够通过GUI或者TTY模式的TShark应用程序进行浏览，本站提供了绿色中文版的wireshark软件，下载后便可以直接使用了，非常方便，需要的朋友快到本站下载吧，另外下文小编还制作了wireshark抓包教程，希望对您的使用有所帮助。

wireshark基本功能

1、深入检查数百个协议，并不断添加更多协议

2、标准三窗格数据包浏览器

3、多平台：在 Windows、Linux、macOS、Solaris、FreeBSD、NetBSD 和许多其他平台上运行

4、可以通过 GUI 或通过 TTY 模式的 TShark 实用程序浏览捕获的网络数据

5、实时捕获和离线分析

6、可将着色规则应用于数据包列表，以进行快速、直观的分析

7、对许多协议的解密支持，包括 IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2

8、丰富的VoIP分析

9、读取/写入许多不同的捕获文件格式：tcpdump (libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer®(压缩和未压缩)、Sniffer® Pro 和 NetXray®、Network Instruments Observer , NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek 等

10、使用 gzip 压缩的捕获文件可以即时解压缩

11、业内最强大的显示过滤器

12、可以从以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、USB、令牌环、帧中继、FDDI 等(取决于您的平台)读取实时数据

13、输出可以导出为 XML、PostScript®、CSV 或纯文本

wireshark安装教程

1、下载本站为您提供的wireshark中文版压缩包文件，正常解压得到“Wireshark-win64-3.4.8.exe”安装程序

2、双击安装程序，开始软件的安装，弹出安装向导界面，点击Next

3、阅读软件的许可证协议，点击Noted表示同意此协议，进入下一步安装

4、选择需要组件，全部勾选，点击Next即可

5、选择附件，是否创建桌面快捷方式，快速启动栏图标以及是否关联文件

6、设置主程序安装路径，默认直接安装到C盘中，也可以自定义此路径后，点击Next

7、选择安装数据包捕获功能，勾选“Install Npacap 1.31”，点击Next

8、点击Install执行最后的安装

9、等待安装进度完成后，便可以直接打开使用了

wireshark抓包教程

1、打开软件之后，点击抓取网络接口卡选择按钮，选择需要抓取的网卡接口;如果不确定是那个网络接口，则可以看packes项数据变化最多接口，选中它然后点击"start"开始抓包;

2、wireshark处于抓包状态中

3、如果需要进行特别的配置，则需要先进行抓包钱的配置操作，点击途中的配置操作按钮，进入到抓包配置操作界面，进行相应配置;配置完成后点击“start”开始抓包;

4、wireshark启动后，wireshark处于抓包状态中;

5、执行需要抓包的操作，如ping www.baidu.com;

6、操作完成后相关数据包就抓取到了。为避免其他无用的数据包影响分析，可以通过在过滤栏设置过滤条件进行数据包列表过滤，获取结果如下。说明：ip.addr == 119.75.217.26 and icmp 表示只显示ICPM协议且源主机IP或者目的主机IP为119.75.217.26的数据包;

7、如果没有抓取到想要的数据包，则点击重新抓取按钮即可;或者抓取到个人需要的数据包之后，可以点击红色的停止按钮即可;

8、数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏视图 --> Coloring Rules(着色规则)，如下所示。

wireshark过滤规则介绍

表达式规则

1、协议过滤

比如TCP，只显示TCP协议。

2、IP 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，

ip.dst==192.168.1.102, 目标地址为192.168.1.102

3、端口过滤

tcp.port ==80, 端口为80的

tcp.srcport == 80, 只显示TCP协议的愿端口为80的。

4、Http模式过滤

http.request.method=="GET", 只显示HTTP GET方法的。

5、逻辑运算符为 AND/ OR

常用的过滤表达式

封包列表(Packet List Pane)

封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

你也可以修改这些显示颜色的规则， View ->Coloring Rules.

例子:

ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

或者

ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP

Linux上运行的wireshark图形窗口截图示例，其他过虑规则操作类似，不再截图。

ip.src eq 10.175.168.182

提示： 在Filter编辑框中，收入过虑规则时，如果语法有误，框会显红色，如正确，会是绿色。

过滤端口

了解了上面的Wireshark过滤规则之后，接下来小编给大家讲解的就是过滤端口，其实这个过滤端口的含义还是比较容易理解的，那么有不懂的用户可以参考下面小编给大家分享的内容，让你能够清楚它的整个使用流程。

例子:

tcp.port eq 80 // 不管端口是来源的还是目标的都显示

tcp.port == 80

tcp.port eq 2722

tcp.port eq 80 or udp.port eq 80

tcp.dstport == 80 // 只显tcp协议的目标端口80

tcp.srcport == 80 // 只显tcp协议的来源端口80

udp.port eq 15000

那么过滤端口范围：

tcp.port >= 1 and tcp.port <= 80

更新日志

v3.4.2

bug修复

wnpa-sec-2020-07 BACapp解剖器可能崩溃

其他

添加(IETF)QUIC Dissector。

重命名配置文件名称将丢失列表选择。

剖析器错误警告，剖析具有许多名称的TLS证书请求。

在-> TCP流图->时间序列(tcptrace)中，只有ACK，但没有数据帧可见。

复制>描述不适用于所有树项目。

在Windows中导入配置文件-zip文件失败，并且目录崩溃使Wireshark崩溃。

添加或删除显示过滤器时，“数据包列表”选择消失了。

检查更新和自动更新，在3.2.1中不起作用。

f5ethtrailer：TLS尾部创建不正确的CLIENT键盘日志条目。

Buildbot崩溃输出：randpkt-2020-03-04-18423.pcap。

文件打开对话框显示乱码。

无可选原因的RTCP Bye报告为[格式错误的数据包]。

[oss-fuzz]#20732：dissect_rtcp中的未定义移位。

SOMEIP：如果正在使用IPv6(BUG)，则SOME / IP-SD解剖器无法注册SOME / IP端口。

tshark日志：“ ...无法打开：打开的文件太多。”

关于Wireshark>键盘快捷方式>忽略所有显示的内容中的错字。

Buildbot崩溃输出：randpkt-2020-04-02-31746.pcap。