wireshark官方版 v3.6.2最新中文版

作为一款专业性十足的网络抓包工具，wireshark原名Ethereal，自从其1998年第一个版本v0.2.0诞生之后就一直被广泛应用于网络封包类分析领域之中，延续至今，无数人投身于此，收益于此，开发于此，至今已然成为世界上最受欢迎的追踪网络流量的工具软件之一！相信只要从事互联网工作的人都知道，互联网其实是一个网络数据传输交换的平台，一个网页的诞生有其源代码、网络协议、网络数据等等多方面组成，而在此过程中，我们如何去对这些数据进行截获、转存、编辑等处理呢，这就需要我们使用到一款专业的抓包软件，市面上抓包软件可谓是丰富多样，像tcpdump、httpwatch、burpsuite、fiddler、charles等都是大家所常用的抓包工具，但是今天小编推荐的这款wireshark官方版确实其中最为突出也是世界上人数使用最多的封包软件，其原因有三：第一，这款软件适应于数百种协议，支持在Windows，Linux，macOS，Solaris，FreeBSD，NetBSD以及其他操作系统上进行使用，适应性强，涉及面广；第二，作为一款免费的应用软件，凭借着其GNUGPL通用许可证的保障范围能够让使用者免费使用软件以及获取源代码，以此来修改和客制化，开源性十足！最重要的一点当然是其强大的功能支持，过滤器的使用能够让你筛选出有用的数据包，排除一些可有可无的信息的干扰，通过着色规则是其图像高亮显示，并且也支持用户通过图标的形式清晰地观看网络数据的变化情况，然后进行Debug处理，找出问题所在，方便至极！当然这款wireshark作用还不仅仅于此，其在网络安全防御上面也有着不错的建树，对于一名网络安全工程师来说，其就像三国猛将吕布的方天戟与赤兔马一般，能够给使用者带来无可比拟的buff加成，而它也是如此，TCP会话重构流能力与过滤器语言强显示作用，能够让用户清晰的分析网络报文、定位网络接口问题并且进行应用数据接口的分析，可学性也是相当给力的！

安装教程

1、在本站下载对应的软件包，选择exe文件，进行解压下载

2、点击next继续下载

3、证书许可协议进行确认，点击noted

4、通过协议后，我们可以自由选择wireshark的附件安装，点击next

5、额外的功能也是可以自由选择的，点击next进行下一步

6、选择安装位置，这里小编选择的是空间较大的E盘，点击next

7、以下软件截图是需要你勾选，可以检查是否存在该软件的旧版，以防冲突。

8、软件安装成功，点击finish，用户也可勾选直接打开

使用教程

1、打开软件之后就需要我们进行选择抓取网络接口了，选中无线网络连接点击start开始运行

2、选择Wireshark capture options可以进行自定义配置，配置完成之后点击start开始抓包了

3、如图所示，软件已经处于抓包状态了

4、以下的截图就是我们抓包的演示状况了。每一行对应一个网络报文，里面包含了时间、ip地址和字段长度

5、如果我们并没有抓到想要的网络数据或者单纯像停止抓包的话，可以点击红色的停止按钮

6、如图可以看到不同的协议可以使用不同的颜色进行区别分类，清晰明了

功能特色

1、确定Wireshark的位置
如果没有一个正确的位置，启动软件后会花费很长的时间捕获一些与自己无关的数据。
2、选择捕获接口
一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。
3、使用捕获过滤器
通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。
4、使用显示过滤器
通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。
5、使用着色规则
通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。
6、构建图表
如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。
7、重组数据
可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

软件优势

1、截取网络封包，并尽可能显示出最为详细的网络封包资料，并使用WinPCAP作为接口，直接与网卡进行数据报文交换。
2、在GNUGPL通用许可证的保障范围底下，使用者可以以免费的途径取得软件与其源代码，并拥有针对其源代码修改及客制化的权利
3、Wireshark不是入侵侦测系统，对于网络上异常的流量行为，其不会给予警告和提示，也不会产生内容的修改，只是单纯反映出流通的封包资讯
4、该软件拥有强大的过滤器引擎，用户可以使用过滤器筛选出有用的数据包，排除无关信息的干扰，找到问题关键所在
5、在Windows，Linux，macOS，Solaris，FreeBSD，NetBSD和许多其他操作系统上都可以运行，多平台支持，非常方便
6、可以从以太网，IEEE 802.11，PPP / HDLC，ATM，蓝牙，USB，令牌环，帧中继，FDDI等读取实时数据

常见问题

一、wireshark过滤规则及使用方法
1、过滤ip
Linux上运行的软件图形窗口截图示例，其他过虑规则操作类似，不再截图。
ip.src eq 10.175.168.182

2、过滤端口
实例：
tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
udp.port eq 15000
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
3、过滤协议
tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
oicq
bootp
等等
排除arp包，如!arp或者not arp
4.过滤MAC
太以网头过滤
eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
eth.dst==A0:00:00:04:C5:84
eth.dst==A0-00-00-04-C5-84
eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的
less than 小于 < lt 
小于等于 le
等于 eq
大于 gt
大于等于 ge
不等 ne
5.包长度过滤
例子:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7   指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
eth —> ip or arp —> tcp or udp —> data
6.http模式过滤
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains “Host: “
http.request.method == “GET” && http contains “User-Agent: “
// POST包
http.request.method == “POST” && http contains “Host: “
http.request.method == “POST” && http contains “User-Agent: “
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
一定包含如下
Content-Type:
7.TCP参数过滤
tcp.flags 显示包含TCP标志的封包。
tcp.flags.syn == 0x02     显示包含TCP SYN标志的封包。
tcp.window_size == 0 && tcp.flags.reset != 1
8.包内容过滤
-----------------------------------------------
tcp[20]表示从20开始，取1个字符
tcp[20:]表示从20开始，取1个字符以上
注： 些两虚线中的内容在我的wireshark（linux）上测试未通过。
--------------------------------------------------
    
tcp[20:8]表示从20开始，取8个字符
tcp[offset,n]
udp[8:3]==81:60:03 // 偏移8个bytes,再取3个数，是否与==后面的数据相等？
udp[8:1]==32   如果我猜的没有错的话，应该是udp[offset:截取个数]=nValue
eth.addr[0:3]==00:06:5B
9.dns模式过滤
10.DHCP
注意：DHCP协议的检索规则不是dhcp/DHCP， 而是bootp
以寻找伪造DHCP服务器为例，介绍Wireshark的用法。在显示过滤器中加入过滤规则，
显示所有非来自DHCP服务器并且bootp.type==0x02（Offer/Ack/NAK）的信息：
bootp.type==0x02 and not ip.src==192.168.1.1
11.msn
msnms && tcp[23:1] == 20 // 第四个是0x20的msn数据包
msnms && tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A
msnms && tcp[20:3]==”USR” // 找到命令编码是USR的数据包
msnms && tcp[20:3]==”MSG” // 找到命令编码是MSG的数据包
tcp.port == 1863 || tcp.port == 80
如何判断数据包是含有命令编码的MSN数据包?
1)端口为1863或者80,如:tcp.port == 1863 || tcp.port == 80
2)数据这段前三个是大写字母,如:
tcp[20:1] >= 41 && tcp[20:1] <= 5A && tcp[21:1] >= 41 && tcp[21:1] <= 5A && tcp[22:1] >= 41 && tcp[22:1] <= 5A
3)第四个为0x20,如:tcp[23:1] == 20
4)msn是属于TCP协议的,如tcp
12. 过虑语法字符
①类似正则表达式的规则。
基本的语法字符
d：0-9的数字
D：d的补集（以所以字符为全集，下同），即所有非数字的字符
w：单词字符，指大小写字母、0-9的数字、下划线
W：w的补集
s：空白字符，包括换行符n、回车符r、制表符t、垂直制表符v、换页符f
S：s的补集
.：除换行符n外的任意字符。 在Perl中，“.”可以匹配新行符的模式被称作“单行模式”
.*：匹配任意文本，不包括回车(n)? 。 而，[0x00-0xff]*        匹配任意文本,包括n
[…]：匹配[]内所列出的所有字符
[^…]：匹配非[]内所列出的字符
②定位字符所代表的是一个虚的字符，它代表一个位置，你也可以直观地认为“定位字符”所代表的是某个字符与字符间的那个微小间隙。
^：表示其后的字符必须位于字符串的开始处
$：表示其前面的字符必须位于字符串的结束处
b：匹配一个单词的边界
B：匹配一个非单词的边界
③重复描述字符
{n}：匹配前面的字符n次
{n,}：匹配前面的字符n次或多于n次
{n,m}：匹配前面的字符n到m次
?：匹配前面的字符0或1次
+：匹配前面的字符1次或多于1次
*：匹配前面的字符0次或式于0次
④and or 匹配
and 符号 并
or  符号 或
例如：
tcp and tcp.port==80
tcp or udp
二、wireshark怎么设置中文?
1、首先打开软件找到菜单栏上的preferences或者使用快捷键Ctrl+Shift+P

2、根据内容提示找到language选项

3、可以看到下拉有Chinese选项，点击就可呈现中文了

4、如此软件已经改成了中文模式了，是不是很简单