Wireshark:开源网络世界的流量解码魔镜
1. Wireshark 简介
用途:网络故障排查、协议分析、安全审计、流量监控。
核心功能:
实时捕获网络数据包。
支持数千种协议解析。
过滤和分析特定流量。
导出捕获文件(PCAP)。
支持平台:Windows、Linux、macOS。
2. 安装 Wireshark
Linux:
macOS:
Windows:
从 Wireshark 官网 下载安装包(安装时勾选WinPcap或Npcap驱动)。
3. 基础操作
3.1 启动捕获
打开 Wireshark,选择要监听的网络接口(如
eth0或Wi-Fi)。点击 Start 开始捕获流量。
点击 Stop 停止捕获。
3.2 捕获过滤器
在捕获前设置过滤器,仅捕获特定流量(语法基于 BPF):
示例: 
3.3 显示过滤器
在捕获结果中筛选特定流量(语法更灵活):
示例输出: 
4. 常用协议分析
4.1 HTTP 请求分析
使用显示过滤器
http。右键数据包 → Follow → HTTP Stream 查看完整会话。
示例输出:
4.2 TCP 握手(三次握手)
过滤 tcp.flags.syn == 1 或 tcp.flags.ack == 1,观察 SYN、SYN-ACK、ACK 过程。
示例输出:
4.3 DNS 查询
过滤 dns,查看 Query 和 Response。
示例输出:
5. 高级功能
5.1 导出特定流量
筛选目标流量(如
http)。点击 File → Export Specified Packets,保存为 PCAP 文件。
5.2 统计工具
Protocol Hierarchy:查看流量协议分布(Statistics → Protocol Hierarchy)。
Flow Graph:生成会话流程图(Statistics → Flow Graph)。
示例输出: 
5.3 着色规则
右键数据包 → Colorize Conversation,按会话类型(TCP/UDP)标记颜色,便于区分流量。
6. 命令行工具(tshark)
Wireshark 的命令行版本,适合自动化分析:
示例输出:
7. 实用技巧
快速定位问题:
过滤
tcp.analysis.retransmission查找重传包(网络拥塞)。过滤
http.response.code == 404查找 404 错误。
时间格式调整:
点击 View → Time Display Format 修改时间显示格式(如相对时间)。合并捕获文件:
File → Merge 合并多个 PCAP 文件。
8. 注意事项
合法使用:未经授权不得监控他人网络流量。
隐私保护:避免捕获敏感信息(如密码明文)。
性能优化:在高流量场景下限制捕获大小(Capture → Options → Limit packet size)。
通过上述操作,你可以快速掌握 Wireshark 的核心功能。实际应用中,结合过滤器和统计工具,能高效分析网络问题。例如:
排查网站访问慢:检查 DNS 解析时间、TCP 握手延迟。
检测异常流量:过滤 ICMP 或非标准端口流量。
评论