分类

wireshark下载 v3.0.0 绿色中文版 xx

大小：108.5MB更新日期：2026/01/28

类别：系统软件语言：简体中文

Wireshark 是一款非常棒的网络数据包分析软件，它的主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料，让你对网络数据封包有更加详细的了解。Wireshark不会对网络数据包产生内容的修改，本身也不会提交数据包至网络上。

Wireshark可以实时检测网络通讯数据，也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。此版wireshark中文版，按提示安装完成后最后会是中文版的。

【基本介绍】

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。
网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

在过去，网络数据包分析软件是非常昂贵，或是专门属于营利用的软件，Wireshark的出现改变了这一切。在GNU GPL通用许可证的保障范围底下，用户可以以免费的代价取得软件与其代码，并拥有针对其源代码修改及定制化的权利。Wireshark是目前全世界最广泛的网络数据包分析软件之一。

【软件特点】

Wireshark拥有许多强大的特性：
包含有强显示过滤器语言（rich display filter language）和查看TCP会话重构流的能力；
它更支持上百种协议和媒体类型：
拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。
在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。
Ethereal的出现改变了这一切。
在GNU GPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其程式码，并拥有针对其原始码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

【使用目的】

1、网络管理员使用Wireshark来检测网络问题
2、网络安全工程师使用Wireshark来检查信息安全相关问题
3、开发者使用Wireshark来为新的通信协议除错
4、普通用户使用Wireshark来学习网络协议的相关知识

【使用说明】

1、Wireshark能够尽可能详细的显示出数据包的信息如使用的协议，IP地址，物理地址，数据包的内容，而且还可以根据不同的属性将抓取的数据包进行分类。Wireshark不是入侵侦测软件。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark截取的数据包能够帮助用户对于网络行为有更清楚的了解。
2、Wireshark不会对网络数据包产生内容的修改 - 它只会反映出目前流通的数据包信息。 Wireshark本身也不会提交数据包至网络上。

【工作流程】

（1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。
（2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。
（3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。
（4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。
（5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。
（6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。
（7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

【安装教程】

下载完毕后，进行解压，双击安装执行文件，弹出安装窗口，点击【next】，如图

是否同意安装，这里点击【I Agree】,表示同意安装

默认勾选即可，点击【next】如图

默认勾选即可，点击【next】,如图所示

安装目录可以修改，也可以默认，点击【next】，如图

默认勾选按钮，继续点击【Install】,这里需要等几分钟才能安装完，耐心等待

安装完毕，点击【finish】即可，这样就可以使用软件了

【使用教程】

wireshark抓包详细图文教程
开始界面

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。
点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

Wireshark 窗口介绍

WireShark 主要分为这几个界面
1. Display Filter(显示过滤器)，用于过滤
2. Packet List Pane(封包列表)，显示捕获到的封包，有源地址和目标地址，端口号。颜色不同，代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏，杂项)

使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种，
一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。在Capture -> Capture Filters 中设置

保存过滤
在Filter栏上，填好Filter的表达式后，点击Save按钮，取个名字。比如"Filter 102",

Filter栏上就多了个"Filter 102" 的按钮。

过滤表达式的规则
表达式规则
1. 协议过滤
比如TCP，只显示TCP协议。
2. IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，
ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
4. Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR

常用的过滤表达式

封包列表(Packet List Pane)
封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。你可以看到不同的协议用了不同的颜色显示。
你也可以修改这些显示颜色的规则， View ->Coloring Rules.

封包详细信息 (Packet Details Pane)
这个面板是我们最重要的，用来查看协议中的每一个字段。
各行信息分别为
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP
Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

TCP包的具体内容
从下图可以看到wireshark捕获到的TCP包中的每个字段。

看到这，基本上对wireshak有了初步了解，现在我们看一个TCP三次握手的实例

三次握手过程为

这图我都看过很多遍了，这次我们用wireshark实际分析下三次握手的过程。
打开wireshark, 打开浏览器输入 h t t p : / / w w w . c r 1 7 3 .c o m
在wireshark中输入http过滤，然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",
这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图