Wireshark是一种以前称为Ethereal的网络分析工具，它实时捕获数据包并以人类可读的格式显示它们。Wireshark包含过滤器、颜色编码和其他功能，可以让您深入挖掘网络流量并检查单个数据包。

本教程将帮助您快速掌握捕获数据包、过滤数据包和检查数据包的基本知识。您可以使用Wireshark检查可疑程序的网络流量、分析网络上的流量或解决网络问题。

获取wireshark

您可以从Wireshark的官方网站下载Wireshark for Windows或macOS。如果您使用的是Linux或其他类似UNIX的系统，您可能会在Wireshark的软件包存储库中找到Wireshark。例如，如果你使用的是Ubuntu，你会在Ubuntu软件中心找到Wireshark。

只是一个简短的警告：许多组织不允许Wireshark和类似的工具出现在他们的网络上。未经许可，请勿在工作中使用此工具。

捕获数据包

下载并安装Wireshark后，可以启动它并双击“捕获”下的网络接口名称，开始捕获该接口上的数据包。例如，如果要捕获无线网络上的流量，请单击无线接口。您可以通过单击“捕获”>“选项”来配置高级功能，但现在不需要这样做。

只要单击接口的名称，就会看到数据包开始实时显示。Wireshark捕获发送到系统或从系统发送的每个数据包。

如果启用了混杂模式，默认情况下启用了它，您还将看到网络上的所有其他数据包，而不是仅看到指向网络适配器的数据包。要检查是否启用了混杂模式，请单击Capture>Opti***，并验证此窗口底部激活了“启用所有接口上的混杂模式”复选框。

当您要停止捕获流量时，请单击窗口左上角附近的红色“停止”按钮。

颜色编码

您可能会看到以各种不同颜色突出显示的数据包。Wireshark使用颜色帮助您一眼识别流量类型。默认情况下，浅紫色表示TCP通信量，浅蓝色表示UDP通信量，黑色表示有错误的数据包。例如，这些数据包可能是无序传递的。

要查看颜色代码的确切含义，请单击“查看”>“着色规则”。如果您愿意，也可以从这里自定义和修改着色规则。

样本捕获

如果你自己的网络上没有什么有趣的东西可以检查，Wireshark的wiki已经涵盖了你。wiki包含一页示例捕获文件，您可以加载和检查这些文件。单击“文件”&gt；“在Wireshark中打开”，然后浏览下载的文件以打开一个文件。

您还可以将自己的捕获保存在Wireshark中，稍后再打开它们。单击文件>保存保存捕获的数据包。

过滤数据包

如果您试图检查某些特定的内容，例如程序在打电话回家时发送的通信量，那么关闭所有其他使用网络的应用程序将有助于缩小通信量。不过，您可能还有大量的数据包要筛选。这就是Wireshark过滤器的用武之地。

应用过滤器的最基本方法是将其输入窗口顶部的过滤器框中，然后单击“应用”（或按Enter键）。例如，键入“dns”，您将只看到dns包。当你开始打字时，Wireshark将帮助你自动完成你的过滤器。

也可以单击“分析”>“显示过滤器”从Wireshark中包含的默认过滤器中选择一个过滤器。从这里，您可以添加自己的自定义过滤器并保存它们，以便将来轻松访问它们。

有关Wireshark显示过滤语言的更多信息，请阅读Wireshark官方文档中的“构建显示过滤表达式”页面。

您可以做的另一件有趣的事情是右键单击数据包并选择Follow>TCP Stream。

您将看到客户机和服务器之间的完整TCP会话。您也可以单击“跟随”菜单中的“其他协议”，查看其他协议的完整对话（如果适用）。

关闭窗口，您会发现过滤器已自动应用。Wireshark正在向您展示构成对话的数据包。

检查数据包

点击一个包来选择它，你可以向下挖掘来查看它的详细信息。

您也可以从这里创建过滤器-只需右键单击其中一个详细信息，然后使用“应用为过滤器”子菜单创建基于它的过滤器。

Wireshark是一个非常强大的工具，本教程只是简单介绍一下如何使用它。专业人员使用它来调试网络协议实现，检查安全问题和检查网络协议内部。

您可以在官方Wireshark用户指南和Wireshark网站上的其他文档页面中找到更多详细信息。