Wireshark中文版 v2.6.4 绿色中文版

Wireshark中文版是一款非常棒的Unix和Windows上的开源网络协议分析器。Wireshark中文版可以实时检测网络通讯数据，也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。心愿下载提供Wireshark网络协议分析器免费下载，此版包括32位和64位版本。

此版wireshark中文版，按提示安装完成后最后会是中文版的。注意:如果你选择中文的话，请选择合适的字体，具体在编辑->首选项设置->用户接口->字体中设置!

【基本介绍】

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。
网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

在过去，网络数据包分析软件是非常昂贵，或是专门属于营利用的软件，Wireshark的出现改变了这一切。在GNU GPL通用许可证的保障范围底下，用户可以以免费的代价取得软件与其代码，并拥有针对其源代码修改及定制化的权利。Wireshark是目前全世界最广泛的网络数据包分析软件之一。

【软件特点】

Wireshark拥有许多强大的特性：
包含有强显示过滤器语言（rich display filter language）和查看TCP会话重构流的能力；
它更支持上百种协议和媒体类型：
拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。
在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。
Ethereal的出现改变了这一切。
在GNU GPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其程式码，并拥有针对其原始码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

【使用目的】

1、网络管理员使用Wireshark来检测网络问题
2、网络安全工程师使用Wireshark来检查信息安全相关问题
3、开发者使用Wireshark来为新的通信协议除错
4、普通用户使用Wireshark来学习网络协议的相关知识

【使用说明】

1、Wireshark能够尽可能详细的显示出数据包的信息如使用的协议，IP地址，物理地址，数据包的内容，而且还可以根据不同的属性将抓取的数据包进行分类。Wireshark不是入侵侦测软件。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark截取的数据包能够帮助用户对于网络行为有更清楚的了解。
2、Wireshark不会对网络数据包产生内容的修改 - 它只会反映出目前流通的数据包信息。 Wireshark本身也不会提交数据包至网络上。

【工作流程】

（1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 
（2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。 
（3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。 
（4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。 
（5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。 
（6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。 
（7）重组数据。Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

【安装教程】

下载完毕后，进行解压，双击安装执行文件，弹出安装窗口，点击【next】，如图

是否同意安装，这里点击【I Agree】,表示同意安装

默认勾选即可，点击【next】如图

默认勾选即可，点击【next】,如图所示

安装目录可以修改，也可以默认，点击【next】，如图

默认勾选按钮，继续点击【Install】,这里需要等几分钟才能安装完，耐心等待

安装完毕，点击【finish】即可，这样就可以使用软件了

【使用教程】

wireshark抓包详细图文教程

开始界面

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。
点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

Wireshark 窗口介绍

WireShark 主要分为这几个界面

1. Display Filter(显示过滤器)， 用于过滤
2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏，杂项)

使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。
过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种，
一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",

Filter栏上就多了个"Filter 102" 的按钮。

过滤表达式的规则

表达式规则
1. 协议过滤
比如TCP，只显示TCP协议。
2. IP 过滤
比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，
ip.dst==192.168.1.102, 目标地址为192.168.1.102
3. 端口过滤
tcp.port ==80, 端口为80的
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
4. Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。
5. 逻辑运算符为 AND/ OR

常用的过滤表达式

封包列表(Packet List Pane)
封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。
你也可以修改这些显示颜色的规则， View ->Coloring Rules.

封包详细信息 (Packet Details Pane)
这个面板是我们最重要的，用来查看协议中的每一个字段。
各行信息分别为
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP
Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

TCP包的具体内容
从下图可以看到wireshark捕获到的TCP包中的每个字段。

看到这， 基本上对wireshak有了初步了解， 现在我们看一个TCP三次握手的实例

 三次握手过程为

这图我都看过很多遍了， 这次我们用wireshark实际分析下三次握手的过程。
打开wireshark, 打开浏览器输入 h t t p : / / w w w . c r 1 7 3 .c o m
在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击"Follow TCP Stream",
这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包
客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图

第二次握手的数据包
服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

第三次握手的数据包
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

就这样通过了TCP三次握手，建立了连接

【常见问题】

wireshark怎么注释数据包
进行打开电脑中的wireshark的软件应用。

在wireshark抓取到的数据包的中，进行右键所选中的数据包。


这样就会弹出了下拉菜单中，进行选择为菜单中的“packet comment”


这样就会弹出了packet comment的一个窗口的界面中，在输入框中进行输入需要注释的内容。


可以在下框中，显示一个绿色，进行选中该注释的。


这样显示的是该注释的内容了


wireshark数据包怎么打印
在数据包中列表中当中，进行选中一个数据包，然后进行点击菜单中的“file”的选项。


这样就会弹出了下拉菜单中，进行选择为”print“的选项。


这样就会弹出了一个print的选项，只打印一个数据包，进行勾选上selected packet only。


然后在进行选择为了打印的名称，来打印数据包的内容。


由于这个只演示打印到电脑中文件中，进行取电脑的名称。


然后在电脑中的路径中找到该文件，打开该数据包，就可查看数据包内容。