Wireshark(網(wǎng)絡(luò)過(guò)濾抓包工具)是一款免費(fèi)開(kāi)源的網(wǎng)絡(luò)嗅探抓包工具，是世界上最流行的網(wǎng)絡(luò)協(xié)議分析器，本次帶來(lái)的是由作者h(yuǎn)aochj漢化的wireshark中文版下載，支持Windows XP，需要的朋友千萬(wàn)不要錯(cuò)過(guò)哦！

網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換，可以實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)通訊數(shù)據(jù)，檢測(cè)其抓取的網(wǎng)絡(luò)通訊數(shù)據(jù)快照文件，通過(guò)圖形界面瀏覽這些數(shù)據(jù)，可以查看網(wǎng)絡(luò)通訊數(shù)據(jù)包中每一層的詳細(xì)內(nèi)容。此外它還擁有許多強(qiáng)大的特性：例如包含有強(qiáng)顯示過(guò)濾器語(yǔ)言和查看TCP會(huì)話重構(gòu)流的能力，支持上百種協(xié)議和媒體類(lèi)型。

網(wǎng)盤(pán)里包含：3.6.23版 、4.4.2綠色與安裝版和MAC版

PS：最新版僅支持64位及以上系統(tǒng)，x86系統(tǒng)選擇3.6.23版本即可。軟件自帶中文語(yǔ)言安裝完整自動(dòng)識(shí)別中文。

注意:如果你選擇中文的話，請(qǐng)選擇合適的字體，具體在編輯->首選項(xiàng)設(shè)置->用戶接口->字體中設(shè)置!

ps：雙擊運(yùn)行“WiresharkPortable.exe”時(shí)，會(huì)自動(dòng)出現(xiàn)“WinPcap“的安裝界面，請(qǐng)先安裝WinPcap，關(guān)閉就是Wireshark軟件頁(yè)面了！

使用目的

Wireshark中文版中文版使用目的

以下是一些使用Wireshark中文版目的的例子：

網(wǎng)絡(luò)管理員使用Wireshark中文版來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題，網(wǎng)絡(luò)安全工程師使用Wireshark中文版來(lái)檢查資訊安全相關(guān)問(wèn)題，開(kāi)發(fā)者使用Wireshark中文版來(lái)為新的通訊協(xié)定除錯(cuò)，普通使用者使用Wireshark中文版來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識(shí)。當(dāng)然，有的人也會(huì)“居心叵測(cè)”的用它來(lái)尋找一些敏感信息……

Wireshark中文版不是入侵偵測(cè)系統(tǒng)（Intrusion Detection System,IDS）。對(duì)于網(wǎng)絡(luò)上的異常流量行為，Wireshark中文版不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析Wireshark中文版擷取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark中文版不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出目前流通的封包資訊。 Wireshark中文版本身也不會(huì)送出封包至網(wǎng)絡(luò)上。

軟件說(shuō)明

Wireshark抓包示例

1、下載并且安裝好Wireshark后打開(kāi)軟件（本文以Wireshark Version 3.4.9 介紹）打開(kāi)后我們可以看到，Wireshark可以自動(dòng)識(shí)別出電腦上面的網(wǎng)卡（包括虛擬網(wǎng)卡），這里我們雙擊我們需要抓包的網(wǎng)卡。

2、雙擊進(jìn)入此界面后，Wireshark已經(jīng)自動(dòng)開(kāi)始了抓包過(guò)程，如果網(wǎng)卡在與其他網(wǎng)絡(luò)設(shè)備通訊，我們就能看到如下圖所示的各種網(wǎng)絡(luò)協(xié)議報(bào)文。

3、ping www.ebyte.com

4、由于Wireshark抓取的是網(wǎng)卡物理層的數(shù)據(jù)，所以所有通過(guò)該網(wǎng)卡收發(fā)的數(shù)據(jù)都會(huì)被Wireshark抓取，這就讓我們從海量數(shù)據(jù)中找到我們需要關(guān)注的網(wǎng)絡(luò)包就如同大海撈針，但是Wireshark提供了強(qiáng)大的數(shù)據(jù)包過(guò)濾功能，我們就能比較輕松地找到對(duì)應(yīng)的包。比如上面我已經(jīng)ping了我司官網(wǎng)，現(xiàn)在Wireshark已經(jīng)抓取了兩萬(wàn)多條報(bào)文，只要通過(guò)在過(guò)濾器輸入”ip.addr == 101.37.40.78 && icmp“就能找到對(duì)應(yīng)的報(bào)文。

TCP報(bào)文抓包分析示例

1、開(kāi)啟Wireshark的抓包功能后，通過(guò)電腦連接到本地搭建的回顯服務(wù)器，電腦上面的客服端發(fā)送了一段數(shù)據(jù)到服務(wù)器，服務(wù)器回傳到電腦上的客戶端。

2、此時(shí)我們?cè)赪ireshark的過(guò)濾欄中輸入“ip.addr == 192.168.3.6”就能過(guò)濾出網(wǎng)絡(luò)報(bào)文中基于IP協(xié)議簇，且IP地址（源地址或目標(biāo)地址）為192.168.3.6的網(wǎng)絡(luò)報(bào)文。如下圖所示：

Wireshark在封包展示界面中根據(jù)網(wǎng)絡(luò)協(xié)議模型，展示出了各層協(xié)議的重要信息如下圖所示：

Frame:表示物理層

Ethernet II :數(shù)據(jù)鏈路層信息，包括源主機(jī)MAC，目標(biāo)主機(jī)MAC與協(xié)議類(lèi)型如IPV4(0x0800)

Internet Protocol Version 4:IP協(xié)議幀信息，包括源主機(jī)IP地址，目標(biāo)主機(jī)IP地址等

Transmission Control Protocol:TCP協(xié)議相關(guān)信息，包括源端口與目標(biāo)端口號(hào)，接收窗口大小等

3、TCP握手過(guò)程

Wireshark常用過(guò)濾器設(shè)置

1、Wireshark中的邏輯運(yùn)算符

1.1比較運(yùn)算符如：== （等于）、！=（不等于） 、>（大于） 、<（小于） 、>=（大于等于） 、<=（小于等于）

ip.src == 192.168.3.6 過(guò)濾源主機(jī)IP地址或者目標(biāo)主機(jī)IP地址為192.168.3.6的報(bào)文

1.2邏輯運(yùn)算符如：&&（與）、||（或）、?。ǚ牵?/p>

ip.src == 192.168.3.6 && && tcp.srcport == 8001,則只顯示報(bào)文源主機(jī)地址為192.168.3.6且源端口為為8001的報(bào)文

2、協(xié)議過(guò)濾

根據(jù)網(wǎng)絡(luò)協(xié)議過(guò)濾報(bào)文，即在抓包過(guò)濾框中輸入?yún)f(xié)議相關(guān)字段即可，包括”TCP”,”UDP””HTTP””ICMP”等。

3、MAC地址過(guò)濾

eth.addr == 38:3b:26:88:02:dd 過(guò)濾源主機(jī)MAC地址或者目標(biāo)主機(jī)MAC地址為38:3b:26:88:02:dd的報(bào)文

eth.src== 38:3b:26:88:02:dd 過(guò)濾源主機(jī)MAC地址為38:3b:26:88:02:dd的報(bào)文

4、ip地址過(guò)濾

Ip.addr == 192.168.3.6 過(guò)濾源主機(jī)IP地址或者目標(biāo)主機(jī)IP地址為192.168.3.6的報(bào)文

Ip.src== 192.168.3.6 過(guò)濾源主機(jī)IP地址為192.168.3.6的報(bào)文

ip.dst == 192.168.3.240 過(guò)濾目標(biāo)主機(jī)IP地址為192.168.3.240的報(bào)文

5、端口過(guò)濾

tcp.port==80 過(guò)濾基于TCP協(xié)議且目標(biāo)端口號(hào)或源端口號(hào)為80的報(bào)文

udp.srcport == 8001 過(guò)濾基于UDP協(xié)議且端口號(hào)為8001的報(bào)文

tcp.dstport == 8001 過(guò)濾基于TCP協(xié)議且目標(biāo)端口號(hào)為8001的報(bào)文

6、Http模式過(guò)濾

http.request.method=="GET", 過(guò)濾基于http協(xié)議且http請(qǐng)求方式為”GET”的報(bào)文

工作流程

1.確定Wireshark中文版的位置

如果沒(méi)有一個(gè)正確的位置，啟動(dòng)Wireshark中文版后會(huì)花費(fèi)很長(zhǎng)的時(shí)間捕獲一些與自己無(wú)關(guān)的數(shù)據(jù)。

2.選擇捕獲接口

一般都是選擇連接到Internet網(wǎng)絡(luò)的接口，這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則，捕獲到的其它數(shù)據(jù)對(duì)自己也沒(méi)有任何幫助。

3.使用捕獲過(guò)濾器

通過(guò)在Wireshark中文版設(shè)置捕獲過(guò)濾器，可以避免產(chǎn)生過(guò)大的捕獲文件。這樣用戶在分析數(shù)據(jù)時(shí)，也不會(huì)受其它數(shù)據(jù)干擾。而且，還可以為用戶節(jié)約大量的時(shí)間。

4.使用顯示過(guò)濾器

通常使用捕獲過(guò)濾器過(guò)濾后的數(shù)據(jù)，往往還是很復(fù)雜。為了使過(guò)濾的數(shù)據(jù)包再更細(xì)致，此時(shí)使用顯示過(guò)濾器進(jìn)行過(guò)濾。

5.使用著色規(guī)則

通常使用顯示過(guò)濾器過(guò)濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如果想更加突出的顯示某個(gè)會(huì)話，可以使用著色規(guī)則高亮顯示。

6.構(gòu)建圖表

如果用戶想要更明顯的看出一個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。

7.重組數(shù)據(jù)

Wireshark中文版的重組功能，可以重組一個(gè)會(huì)話中不同數(shù)據(jù)包的信息，或者是一個(gè)重組一個(gè)完整的圖片或文件。由于傳輸?shù)奈募^大，所以信息分布在多個(gè)數(shù)據(jù)包中。為了能夠查看到整個(gè)圖片或文件，這時(shí)候就需要使用重組數(shù)據(jù)的方法來(lái)實(shí)現(xiàn)。

軟件特色

Wireshark捕獲工具具有許多強(qiáng)大的功能。

包括豐富的顯示過(guò)濾器語(yǔ)言和查看TCP會(huì)話重建流的功能。

它還支持?jǐn)?shù)百種協(xié)議和媒體類(lèi)型。

有一個(gè)稱(chēng)為tethereal的命令行版本，類(lèi)似于tcpdump（Linux上的網(wǎng)絡(luò)協(xié)議分析工具）。

過(guò)去，網(wǎng)絡(luò)數(shù)據(jù)包分析軟件要么非常昂貴，要么專(zhuān)門(mén)為使用而設(shè)計(jì)。

隨著Ethereal的出現(xiàn)，一切都發(fā)生了變化。

在GNU GPL通用許可的保護(hù)下，您可以免費(fèi)獲得該軟件及其代碼，并有權(quán)修改和自定義源代碼。 Ethereal是世界上使用最廣泛的網(wǎng)絡(luò)數(shù)據(jù)包分析軟件之一。

功能介紹

1、軟件提供了強(qiáng)顯示過(guò)濾器語(yǔ)言。

2、軟件提供了查看tcp會(huì)話重構(gòu)流的功能。

3、軟件支持上百種協(xié)議和媒體類(lèi)型。

4、擁有一個(gè)類(lèi)似tcpdump的名為tethereal的的命令行版本。

5、擁有針對(duì)其原始碼修改及客制化的權(quán)利。

使用說(shuō)明

1、確定Wireshark的位置，如果沒(méi)有一個(gè)正確的位置，啟動(dòng)Wireshark后會(huì)花費(fèi)很長(zhǎng)的時(shí)間捕獲一些與自己無(wú)關(guān)的數(shù)據(jù)。

2、選擇捕獲接口，一般都是選擇連接到Internet網(wǎng)絡(luò)的接口，這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則，捕獲到的其它數(shù)據(jù)對(duì)自己也沒(méi)有任何幫助。

3、使用捕獲過(guò)濾器，通過(guò)設(shè)置捕獲過(guò)濾器，可以避免產(chǎn)生過(guò)大的捕獲文件。這樣用戶在分析數(shù)據(jù)時(shí)，也不會(huì)受其它數(shù)據(jù)干擾。而且，還可以為用戶節(jié)約大量的時(shí)間。

4、使用顯示過(guò)濾器，通常使用捕獲過(guò)濾器過(guò)濾后的數(shù)據(jù)，往往還是很復(fù)雜。為了使過(guò)濾的數(shù)據(jù)包再更細(xì)致，此時(shí)使用顯示過(guò)濾器進(jìn)行過(guò)濾。

5、使用著色規(guī)則，通常使用顯示過(guò)濾器過(guò)濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如果想更加突出的顯示某個(gè)會(huì)話，可以使用著色規(guī)則高亮顯示。

6、構(gòu)建圖表，如果用戶想要更明顯的看出一個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。

7、重組數(shù)據(jù).Wireshark的重組功能，可以重組一個(gè)會(huì)話中不同數(shù)據(jù)包的信息，或者是一個(gè)重組一個(gè)完整的圖片或文件。由于傳輸?shù)奈募^大，所以信息分布在多個(gè)數(shù)據(jù)包中。為了能夠查看到整個(gè)圖片或文件，這時(shí)候就需要使用重組數(shù)據(jù)的方法來(lái)實(shí)現(xiàn)。

更新日志

Bug修復(fù)
已修復(fù)以下漏洞：

wnpa-sec-2026-01BLF文件解析器崩潰。第20880期

wnpa-sec-2026-02IEEE 802.11解析器崩潰。第20939期

wnpa-sec-2026-03SOME/IP-SD剝離器崩潰。第20945期

wnpa-sec-2026-04HTTP 3解剖器無(wú)限循環(huán)。第20944期

已修復(fù)以下錯(cuò)誤：

Wireshark 4.6.0 build fails on Solaris：pcapio.c：441：21：error：request for member '_flag' in something not a structure or union. 第20773期。

RTP播放器流無(wú)法停止。第20879期

其他ABI/API兼容性修復(fù)。第20881期。

HomePlug消息CM_ATTEN_CHAR. IND中的pinfo→cinfo中缺少數(shù)據(jù)。問(wèn)題20893。

maxmind_db：從禁用配置文件切換到啟用配置文件時(shí)崩潰。第20903期

如果CFLAGS將_FORTIFY_SOURCE定義為3以外的值而沒(méi)有首先取消定義，則會(huì)出現(xiàn)編譯警告或錯(cuò)誤。問(wèn)題20904。

IEEE 802.11：當(dāng)幀體包含A-MSDU時(shí)，QoS和Mesh控制字段的解析不正確。第20905期

OSS-Fuzz 473164101：dissect_idn_laser_data中的堆緩沖區(qū)溢出。第20936期

解碼5G NAS消息時(shí)出錯(cuò)-擴(kuò)展CAG信息列表IE。第20946期