Wireshark網絡分析器是一款功能強大的網絡嗅探抓包工具，它會通過捕獲所有網絡包并詳細地展示該數據包的信息，Wireshark 不會對網絡封包產生內容的修改，它只會反映出目前流通的封包信息為用戶提供有關故障排除，保護，分析，維護等功能。Wireshark使用WinPCAP作為接口，直接與網卡進行數據報文交換。網絡封包分析軟件的功能可想像成 "電工技師使用電表來量測電流、電壓、電阻" 的工作 - 只是將場景移植到網絡上，并將電線替換成網絡線。是網絡工作人員必備的一款神器，下面還提供一些使用方法，有需要的朋友不要錯過！

Wireshark(網絡包分析工具)使用方法

1.確定 Wireshark 的位置

如果沒有一個正確的位置，啟動Wireshark后會花費很長的時間捕獲一些與自己無關的數據。

2.選擇捕獲接口

一般都是選擇連接到Internet網絡的接口，這樣才可以捕獲到與網絡相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。

3.使用捕獲過濾器

通過設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以為用戶節約大量的時間。

4.使用顯示過濾器

通常使用捕獲過濾器過濾后的數據，往往還是很復雜。為了使過濾的數據包再更細致，此時使用顯示過濾器進行過濾。

5.使用著色規則

通常使用顯示過濾器過濾后的數據，都是有用的數據包。如果想更加突出的顯示某個會話，可以使用著色規則高亮顯示。

6.構建圖表

如果用戶想要更明顯的看出一個網絡中數據的變化情況，使用圖表的形式可以很方便的展現數據分布情況。

7.重組數據

Wireshark網絡分析器是一款超級強大的網絡抓包分析工具，它是很多網絡調試人員，開發人員非常有用的軟件，它可以實時檢測網絡通訊數據，也可以檢測其抓取的網絡通訊數據快照文件?？梢酝ㄟ^圖形界面瀏覽這些數據，可以查看網絡通訊數據包中每一層的詳細內容。Wireshark擁有許多強大的特性：包含有強顯示過濾器語言（rich display filter language）和查看TCP會話重構流的能力；它更支持上百種協議和媒體類型； 擁有一個類似tcpdump(一個Linux下的網絡協議分析工具)的名為tethereal的的命令行版本。KK下載站為大家提供的是Wireshark中文版本

Wireshark特色

包含有強顯示過濾器語言(rich display filter language)和查看TCP會話重構流的能力;

它更支持上百種協議和媒體類型：

擁有一個類似tcpdump(一個Linux下的網絡協議分析工具)的名為tethereal的的命令行版本。

在過去，網絡封包分析軟件是非常昂貴，或是專門屬于營利用的軟件。

Ethereal的出現改變了這一切。

在GNU GPL通用許可證的保障范圍底下，使用者可以以免費的代價取得軟件與其程式碼，并擁有針對其原始碼修改及客制化的權利。Ethereal是目前全世界廣泛運用的網絡封包分析軟件之一。

Wireshark功能說明

1.深入檢查數百種協議，并且不斷添加更多協議
2.實時捕獲和離線分析
3.標準三窗格包瀏覽器
4.多平臺：在Windows，Linux，macOS，Solaris，FreeBSD，NetBSD和其他許多平臺上運行
5.可以通過GUI或通過TTY模式TShark實用程序瀏覽捕獲的網絡數據
6.業界最強大的顯示器濾波器
7.豐富的VoIP分析
8.讀/寫許多不同的捕獲文件格式：tcpdump（libpcap），Pcap NG，Catapult DCT2000，Cisco Secure IDS iplog，Microsoft網絡監視器，NetworkGeneralSniffer®（壓縮和未壓縮），Sniffer®Pro和NetXray®，Network Instruments Observer ，NetScreen snoop，Novell LANalyzer，RADCOM WAN / LAN分析儀，Shomiti / Finisar Surveyor，Tektronix K12xx，Visual Networks Visual UpTime，WildPackets EtherPeek / TokenPeek / AiroPeek等等
9.使用gzip壓縮的捕獲文件可以動態解壓縮
10.實時數據可以從以太網，IEEE 802.11，PPP / HDLC，ATM，藍牙，USB，令牌環，幀中繼，FDDI等讀?。ㄈQ于您的平臺）
11.許多協議的解密支持，包括IPsec，ISAKMP，Kerberos，SNMPv3，SSL / TLS，WEP和WPA / WPA2
12.可以將著色規則應用于數據包列表，以便進行快速，直觀的分析
13.輸出可以導出為XML，PostScript®，CSV或純文本

Wireshark使用場景

1.網絡管理員使用它解決網絡問題
2.網絡安全工程師使用它來檢查安全問題
3.質量保證工程師使用它來驗證網絡應用
4.開發人員使用它調試協議實現
5.使用它來學習網絡協議內部

Wireshark中文設置

注意:如果你選擇中文的話，請選擇合適的字體，具體在編輯->首選項設置->用戶接口->字體中設置!

Wireshark使用說明

1.確定Wireshark的位置

如果沒有一個正確的位置，啟動Wireshark后會花費很長的時間捕獲一些與自己無關的數據。

2.選擇捕獲接口

一般都是選擇連接到Internet網絡的接口，這樣才可以捕獲到與網絡相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。

3.使用捕獲過濾器

通過設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以為用戶節約大量的時間。

4.使用顯示過濾器

通常使用捕獲過濾器過濾后的數據，往往還是很復雜。為了使過濾的數據包再更細致，此時使用顯示過濾器進行過濾。

5.使用著色規則

通常使用顯示過濾器過濾后的數據，都是有用的數據包。如果想更加突出的顯示某個會話，可以使用著色規則高亮顯示。

6.構建圖表

如果用戶想要更明顯的看出一個網絡中數據的變化情況，使用圖表的形式可以很方便的展現數據分布情況。

7.重組數據

Wireshark的重組功能，可以重組一個會話中不同數據包的信息，或者是一個重組一個完整的圖片或文件。由于傳輸的文件往往較大，所以信息分布在多個數據包中。為了能夠查看到整個圖片或文件，這時候就需要使用重組數據的方法來實現。

Wireshark使用教程

一、抓取報文:

1.下載和安裝好Wireshark之后，啟動Wireshark并且在接口列表中選擇接口名，然后開始在此接口上抓包。例如，如果想要在無線網絡上抓取流量，點擊無線接口。點擊Capture Options可以配置高級屬性，但現在無此必要。

2.點擊接口名稱之后，就可以看到實時接收的報文。Wireshark會捕捉系統發送和接收的每一個報文。如果抓取的接口是無線并且選項選取的是混合模式，那么也會看到網絡上其他報文。

3.上端面板每一行對應一個網絡報文，默認顯示報文接收時間(相對開始抓取的時間點)，源和目標IP地址，使用協議和報文相關信息。點擊某一行可以在下面兩個窗口看到更多信息。“+”圖標顯示報文里面每一層的詳細信息。底端窗口同時以十六進制和ASCII碼的方式列出報文內容。

4、需要停止抓取報文的時候，點擊左上角的停止按鍵。

二、色彩標識

1、進行到這里已經看到報文以綠色，藍色，黑色顯示出來。Wireshark通過顏色讓各種流量的報文一目了然。比如默認綠色是TCP報文，深藍色是DNS，淺藍是UDP，黑色標識出有問題的TCP報文——比如亂序報文。

三、報文樣本

1、比如說你在家安裝了Wireshark，但家用LAN環境下沒有感興趣的報文可供觀察，那么可以去Wireshark wiki下載報文樣本文件。

2、打開一個抓取文件相當簡單，在主界面上點擊Open并瀏覽文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打開。

四、過濾報文

1、如果正在嘗試分析問題，比如打電話的時候某一程序發送的報文，可以關閉所有其他使用網絡的應用來減少流量。但還是可能有大批報文需要篩選，這時要用到Wireshark過濾器。

2、最基本的方式就是在窗口頂端過濾欄輸入并點擊Apply(或按下回車)。例如，輸入“dns”就會只看到DNS報文。輸入的時候，Wireshark會幫助自動完成過濾條件。

3、也可以點擊Analyze菜單并選擇Display Filters來創建新的過濾條件。

4、另一件很有趣的事情是你可以右鍵報文并選擇Follow TCP Stream。

5、你會看到在服務器和目標端之間的全部會話。

6、關閉窗口之后，你會發現過濾條件自動被引用了——Wireshark顯示構成會話的報文。

五、檢查報文

1、選中一個報文之后，就可以深入挖掘它的內容了。

2、也可以在這里創建過濾條件——只需右鍵細節并使用Apply as Filter子菜單，就可以根據此細節創建過濾條件。

3、Wireshark是一個非常之強大的工具，第一節只介紹它的最基本用法。網絡專家用它來debug網絡協議實現細節，檢查安全問題，網絡協議內部構件等等。