1 功能特点
- 数据包捕获与解析:Wireshark能够实时捕获经过网络接口的数据包,并详细解析数据包的各个字段,展示数据包的源地址、目的地址、协议类型、数据长度等信息。它支持对数百种网络协议的解析,包括常见的TCP、UDP、IP、HTTP、FTP、DNS等;
- 过滤功能强大:提供捕获过滤器和显示过滤器,用户可以根据协议、IP地址、端口号、数据包内容等条件设置过滤表达式,快速筛选出符合条件的数据包。这有助于在大量数据包中定位特定的流量,提高分析效率;
- 数据包重组与分析:能够将属于同一个会话或文件传输的多个数据包进行重组,还原出完整的应用层数据,如图片、文件、视频等。同时,可按照协议层次展示数据包的各个字段的含义,使用户能够清晰地看到数据包的具体内容;
- 跨平台与开源:支持Windows、Linux、macOS等主流操作系统。作为一款开源工具,拥有庞大的社区支持,用户可以免费使用,并能根据需要查看或修改源代码;
- 应用场景广泛:可用于网络故障排查、安全分析、协议开发与调试以及教育等领域。
2 安装说明
PS:这里介绍MacOS下的详细情况
STEP1:官网下载https://www.wireshark.org/download.html
STEP2:权限更改
命令行执行
1 | sudo chmod 777 /dev/bpf* |
3 简单使用方法
3.1 抓包的开启与停止
选择网卡(Command+K)
依次点集“Capture”—>”Options……”,选择你想要抓包的网卡,选取网卡开始抓包
开始抓包(Command+E)
点击工具栏最左侧的Wireshark图标即可开始抓包
结束抓包(Command+E)
开始抓包后的界面如下
点击蓝色框中的结束按钮,即可结束抓包
2.3.2 数据保存与导出
保存与导出的区别
保存只能一次保存所有抓到的数据包
导出可以保存部分数据包
数据保存(Command+S)
单击工具栏中红色框框住的图标
数据导出
STEP1:选中所有你需要的数据包(结合command键/shift键与单击的配合)
STEP2:依次点击“File”–>”Export Specified Packets……”
STEP3:红框位置选择Selected packets only,之后确定文件名字及保存位置即可
2.3.4 过滤器的使用
BPF语法
对过滤内容的描述需要用到BPF,语法内容可以参考https://blog.csdn.net/qq_43665434/article/details/109400109
抓包过滤器(过滤抓取的内容)
STEP1:依次点集“Capture”—>”Options……”
STEP2:在红框位置,用BPF语言描述过滤需求
显示过滤器(过滤显示的内容)
在工具栏下方的过滤栏中输入过滤信息,对显示出的数据包内容进行过滤
