02-Wireshark快速入门

Wireshark数据包捕获与分析实战 第 2 篇：Wireshark快速入门

摘要

本文将带你完成Wireshark的安装配置，掌握界面操作和基础功能，帮助你独立完成第一次数据包捕获。你将学到在不同操作系统上安装Wireshark、熟悉用户界面布局、配置捕获选项、使用显示过滤器分析数据，以及保存和导出捕获文件。

学习目标

阅读完本文后，你将能够：

• 独立安装Wireshark：在Windows、Linux、macOS系统上正确安装Wireshark及其依赖组件
• 熟悉用户界面：掌握Wireshark主窗口各部分的功能和布局
• 配置捕获选项：根据需求选择正确的网络接口和捕获参数
• 完成首次捕获：独立启动捕获、停止捕获并保存结果
• 使用显示过滤器：编写基本的显示过滤器筛选关注的流量
• 管理捕获文件：保存、打开、合并和导出不同格式的捕获文件

---

一、Wireshark安装指南

1.1 系统要求

在安装Wireshark之前，需要确保你的系统满足基本要求。Wireshark不是特别消耗资源的软件，但网络流量捕获和分析对硬件有一定要求。

处理器要求：Wireshark本身对CPU要求不高，主流的多核处理器都可以流畅运行。但在分析大型捕获文件或实时捕获高速流量时，CPU性能会成为瓶颈。建议使用至少双核处理器，频率2.0GHz以上。

内存要求：内存大小直接影响Wireshark能够处理的捕获文件大小。Wireshark需要在内存中加载和索引捕获文件，文件越大，需要的内存越多。建议至少4GB内存，8GB或以上可以处理更大的文件。

磁盘空间：Wireshark软件本身只需要几百MB空间，但捕获文件可能会占用大量磁盘空间。建议预留足够的磁盘空间用于存储捕获文件，特别是进行长期捕获或监控时。

网络接口：Wireshark需要通过网络接口捕获数据包。大多数现代计算机都有以太网接口和Wi-Fi接口，都可以用于捕获。对于笔记本电脑，无线接口是最常用的捕获点。

操作系统：Wireshark支持Windows 7及以上版本、主流Linux发行版（Ubuntu、Debian、Fedora、CentOS等）、macOS 10.12及以上版本。不同平台的安装过程有所不同。

1.2 Windows系统安装

Windows平台是Wireshark用户最多的平台，安装过程相对简单。但需要注意几个关键步骤，确保能够正确捕获数据包。

下载安装包

访问Wireshark官方网站（wireshark.org）的下载页面，选择Windows安装包。网站会自动检测你的系统架构（32位或64位），提供对应的安装包。

建议下载最新的稳定版本（Stable Release）。虽然开发版本（Development Release）包含最新功能，但可能存在不稳定因素。对于生产环境或重要工作，始终使用稳定版本。

安装步骤

运行下载的安装程序，会启动安装向导。安装过程有几个关键选择需要注意：

flowchart TD
    A[安装向导启动] --> B{选择组件}
    B --> C[核心程序]
    B --> D[工具集]
    B --> E[文档]

    C --> F{Npcap安装选项}
    F --> G[支持原始捕获]
    F --> H[支持无线捕获]

    G --> I[安装完成]
    H --> I

    I --> J{额外任务}
    J --> K[关联文件类型]
    J --> L[创建桌面快捷方式]

    K --> M[完成安装]
    L --> M

图表讲解：

这张安装流程图展示了Windows平台上Wireshark安装的关键决策点。理解这些选择有助于正确配置工具。

组件选择阶段，建议全部选择安装。“Wireshark Core”是核心程序，必须安装。“Tools”包含TShark、Capinfos等命令行工具，高级用户会用到。“Documentation”包含帮助文档，建议保留。

Npcap安装是最关键的部分。Npcap（前身为WinPcap）是Windows平台的网络数据包捕获驱动程序，没有它Wireshark无法捕获数据包。安装Npcap时有两个重要选项需要勾选：

“Support raw 802.11 traffic”选项允许捕获无线网络的原始802.11帧。如果不勾选这个选项，Wireshark只能看到经过系统处理的无线流量，无法分析无线层面的管理帧和控制帧。

“Install Npcap in WinPcap API-compatible Mode”选项让Npcap兼容旧的WinPcap应用程序。如果你使用其他依赖WinPcap的工具，建议勾选。

安装完成后，需要重启计算机才能使Npcap驱动生效。重启后，以管理员身份运行Wireshark，确保有足够权限访问网络接口。

权限配置

在Windows上，普通用户默认无法捕获网络流量。这是Windows的安全机制，防止恶意软件窃听网络。要允许普通用户使用Wireshark，需要配置Npcap的权限。

打开Npcap安装目录（通常在C:\Windows\System32\Npcap），运行npcap.exe配置工具。在”Access”选项卡中，添加需要授权的用户或用户组。建议添加”Network Configuration Operators”组，而不是单独的用户，这样更易于管理。

1.3 Linux系统安装

Linux系统安装Wireshark通常通过包管理器完成，不同发行版的命令略有不同。

Ubuntu/Debian系统

# 更新软件包索引
sudo apt update
 
# 安装Wireshark
sudo apt install wireshark

安装过程中会询问是否允许非超级用户捕获数据包。选择”Yes”并配置wireshark组。安装后需要将用户添加到wireshark组：

# 将当前用户添加到wireshark组
sudo usermod -aG wireshark $USER
 
# 注销并重新登录使组权限生效

Fedora/RHEL系统

# Fedora系统
sudo dnf install wireshark wireshark-gnome
 
# RHEL/CentOS系统
sudo yum install wireshark wireshark-gnome

配置用户权限需要将用户添加到wireshark组：

# 添加用户到wireshark组
sudo usermod -aG wireshark $USER
 
# 重新登录使权限生效

从源代码编译

如果需要最新版本或特定功能，可以从源代码编译安装：

# 安装编译依赖
sudo apt install build-essential cmake libpcap-dev
 
# 下载源代码
wget https://www.wireshark.org/download/src/wireshark-4.0.0.tar.xz
 
# 解压并编译
tar xf wireshark-4.0.0.tar.xz
cd wireshark-4.0.0
mkdir build && cd build
cmake ..
make
sudo make install

1.4 macOS系统安装

macOS平台可以通过多种方式安装Wireshark，最简单的是使用官方安装包或Homebrew包管理器。

使用官方安装包

从Wireshark官网下载macOS安装包（.dmg文件），双击打开后拖动Wireshark图标到Applications文件夹完成安装。

首次运行Wireshark时，会自动安装ChmodBPF（用于配置捕获权限的工具）。如果提示未签名，需要在系统设置中允许运行。

使用Homebrew安装

# 安装Homebrew（如果尚未安装）
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
 
# 安装Wireshark
brew install --cask wireshark
 
# 安装ChmodBPF（配置权限）
brew install ChmodBPF

安装ChmodBPF后，需要将用户添加到access_bpf组：

# 添加用户到access_bpf组
sudo dseditgroup -o edit -a $USER -t user access_bpf
 
# 重新登录使权限生效

1.5 验证安装

安装完成后，需要验证Wireshark是否正确安装并能够捕获数据包。

启动Wireshark

• Windows：从开始菜单或桌面快捷方式启动
• Linux：在应用菜单中找到Wireshark，或在终端运行wireshark
• macOS：从Launchpad或Applications文件夹启动

启动后，Wireshark会显示主窗口，包含可用的网络接口列表。

检查网络接口

在主界面的接口列表中，应该能看到计算机上的网络接口：

• 以太网接口（通常命名为Ethernet、en0、eth0等）
• 无线接口（通常命名为Wi-Fi、wlan0等）
• 虚拟接口（如Loopback、VMware网络适配器等）

每个接口旁边显示实时流量图表，绿色表示有流量，蓝色表示无流量。移动鼠标到接口上，可以看到接口的IP地址和统计信息。

测试捕获

选择一个有流量的接口（如你正在使用的网络接口），点击开始捕获按钮（蓝色鲨鱼鳍图标）。稍等片刻，然后打开浏览器访问几个网站，停止捕获。

如果能看到数据包列表，说明安装成功。如果提示权限错误，需要按照前面的步骤配置用户权限。

---

二、Wireshark界面导航

2.1 主窗口布局

Wireshark的主窗口设计经过多次迭代，现代版本（3.0+）的界面布局直观高效。理解各部分的功能是熟练使用Wireshark的第一步。

flowchart TB
    A[Wireshark主窗口] --> B[菜单栏]
    A --> C[主工具栏]
    A --> D[过滤器工具栏]
    A --> E[接口选择栏]
    A --> F[数据包列表窗格]
    A --> G[数据包详情窗格]
    A --> H[数据包字节窗格]
    A --> I[状态栏]

    B --> B1[文件、编辑、视图等]
    C --> C1[捕获、过滤、颜色等]
    D --> D1[显示过滤器输入框]
    E --> E1[可用网络接口]
    F --> F1[数据包列表]
    G --> G1[协议层次树]
    H --> H1[十六进制数据]
    I --> I1[捕获统计信息]

图表讲解：

这张界面布局图展示了Wireshark主窗口的九大组成部分。掌握这些区域的功能，能让你快速定位需要的操作。

菜单栏包含所有功能的入口，按照传统Windows应用的分类方式组织。“File”菜单处理文件操作（打开、保存、导出）；“Edit”菜单提供查找、标记、时间偏移等编辑功能；“View”菜单控制界面元素的显示；“Capture”菜单管理捕获操作；“Analyze”菜单提供启用协议、追踪流等分析功能；“Statistics”菜单包含各种统计工具；“Telephony”菜单专门处理语音和视频协议；“Tools”菜单包含辅助工具；“Internals”菜单提供Wireshark内部信息；“Help”菜单提供帮助文档。

主工具栏放置常用操作的快捷按钮，从左到右依次是：开始捕获、停止捕获、捕获选项、重新启动捕获、打开文件、保存文件、关闭文件、重载文件、查找包、转到特定包、前进/后退、颜色标记、设置等。鼠标悬停在按钮上会显示提示文字。

过滤器工具栏是使用频率最高的区域，包含一个大的输入框用于输入显示过滤器，以及右侧的应用、清除、保存过滤器等按钮。输入过滤器时，Wireshark会提供语法提示和自动完成功能。

接口选择栏显示可用的网络接口列表，每个接口有一个小型的实时流量图。点击接口旁边的齿轮图标可以配置该接口的捕获选项。

数据包列表窗格是主要工作区域，以表格形式显示所有捕获的数据包。每一行代表一个数据包，列包括：包编号（No.）、时间戳（Time）、源地址（Source）、目的地址（Destination）、协议（Protocol）、长度（Length）、信息（Info）。点击列标题可以按该列排序。

数据包详情窗格以树状结构显示选中数据包的详细信息。展开每个协议节点，可以看到该协议的所有字段及其值。这是理解协议细节的关键区域。

数据包字节窗格以十六进制和ASCII两种格式显示选中数据包的原始字节。十六进制视图显示原始字节值，ASCII视图显示可打印字符。在数据包详情窗格中选中某个字段，字节窗格会高亮显示对应的字节范围。

状态栏显示各种有用的信息：捕获的包数量、显示的包数量（过滤后）、标记的包数量、配置文件、捕获文件路径等。

2.2 数据包列表窗格详解

数据包列表窗格是Wireshark最核心的区域，显示所有捕获的数据包。理解列表中各列的含义和排序功能，有助于快速找到关注的包。

列说明

列名	说明	用途
No.	包编号	数据包的顺序号，从1开始
Time	时间戳	数据包到达时间，格式可配置
Source	源地址	发送方的地址（MAC/IP/端口等）
Destination	目的地址	接收方的地址
Protocol	协议	最高层协议名称
Length	长度	数据包的字节长度
Info	信息	协议特定的摘要信息

包编号是每个数据包的唯一标识符，从1开始连续编号。即使删除或过滤了某些包，编号也不会重新分配。这个特性使得引用特定包时很方便，比如在文档中”参见第47号包”。

时间戳默认显示从捕获开始到该包到达的相对时间（秒）。可以在视图设置中更改为绝对时间（日期+时间）或自Epoch（1970年1月1日）以来的秒数。相对时间对于分析通信时序最有用，比如计算TCP三次握手的时间间隔。

源地址和目的地址的显示内容取决于协议。对于以太网帧，显示MAC地址；对于IP数据包，显示IP地址；对于TCP/UDP，还会显示端口号。Wireshark会尝试解析知名端口为服务名，如显示”www”而不是”80”。

协议列显示该数据包的最高层协议。如果一个TCP数据包携带HTTP载荷，协议列显示”HTTP”而不是”TCP”。这帮助快速识别数据包的应用层协议。

长度列显示整个数据包的字节长度，包括所有层的头部和载荷。以太网MTU是1500字节，所以通常看到的包长度小于1500。如果看到大于1500的包，可能是巨型帧（Jumbo Frame）或错误帧。

信息列提供协议特定的摘要信息，是判断数据包内容的关键。对于TCP，信息显示序列号、标志位、ACK号；对于HTTP请求，显示请求方法和URL；对于HTTP响应，显示状态码和原因短语。

列表操作

• 排序：点击列标题按该列排序。默认按时间戳升序排列。点击协议列可以按协议类型分组查看。
• 查找：按Ctrl+F打开查找对话框，可以按包编号、地址、协议等条件查找。
• 标记：右键选择”Mark Packet”或按Ctrl+M标记重要包，标记的包会有黑点标识。
• 过滤：在过滤器工具栏输入过滤表达式，列表只显示符合条件的包。
• 跳转：按Ctrl+G跳转到指定编号的包，或按Ctrl+数字键跳转到第N个包。

2.3 数据包详情窗格详解

数据包详情窗格以树状结构显示数据包的详细信息，是理解协议内容的关键区域。

树状结构展开

点击每个协议节点左边的箭头可以展开该协议的所有字段。Wireshark会自动识别协议链，从底层数据链路层协议开始，逐层向上展开。

典型的展开顺序是：

1. Frame（帧信息）：捕获时间、帧编号、帧长度等
2. Ethernet II（以太网头）：MAC地址、类型等
3. IPv4/IPv6（IP头）：IP地址、TTL、协议等
4. TCP/UDP（传输层头）：端口、序列号、标志位等
5. HTTP/DNS等（应用层）：请求/响应内容等

字段说明

每个字段显示三部分信息：字段名、字段值、字段说明。例如：

• src: 192.168.1.100 是字段名和值
• 后面的说明文字可能是(Source: 192.168.1.100)

点击某个字段，字节窗格会高亮显示该字段对应的字节范围。这对于验证协议实现或理解数据格式很有用。

特殊字段

有些字段有特殊的颜色标记：

• 蓝色表示协议错误的字段
• 红色表示异常或可疑的字段
• 黑色是正常的字段

右键点击字段可以执行各种操作：应用为过滤器、复制字段值、查看字段文档等。

2.4 数据包字节窗格详解

数据包字节窗格显示选中数据包的原始字节，分为两部分：左侧是十六进制表示，右侧是ASCII表示。

十六进制视图

每行显示16个字节，分为8字节一组。左侧的行号表示该行第一个字节在包中的偏移量（从0开始）。

例如：

00000000  00 11 22 33 44 55 66 77  88 99 aa bb cc dd ee ff
00000010  00 11 22 33 44 55 66 77  88 99 aa bb cc dd ee ff

第一列是偏移量，然后是16个字节的十六进制值，中间有额外空格分隔两边的8字节。

ASCII视图

右侧显示对应字节的ASCII字符。可打印字符（32-126）直接显示，其他字符显示为点（.）。

这对于分析文本协议（如HTTP、SMTP）很有用，可以直接看到协议的文本内容。

关联高亮

在数据包详情窗格选中一个字段，字节窗格会高亮显示该字段对应的字节范围。这帮助理解协议的编码格式。例如，选中TCP序列号字段，字节窗格会高亮显示该字段的4个字节。

操作

右键点击字节窗格可以复制各种格式的数据：十六进制字符串、ASCII字符串、C数组、Java数组等。这对于开发工作很有用。

---

三、第一次数据包捕获

3.1 选择网络接口

启动Wireshark后，首先看到的是接口列表。正确选择捕获接口是成功捕获的第一步。

识别正确接口

计算机通常有多个网络接口：

• 以太网接口：有线连接，通常命名为Ethernet、en0、eth0
• 无线接口：Wi-Fi连接，通常命名为Wi-Fi、wlan0
• 虚拟接口：虚拟机软件创建的接口，如VMware Network Adapter
• 回环接口：本地通信，名为Loopback、lo

要捕获你关心的流量，需要选择流量实际经过的接口。例如，要捕获浏览器的Web流量，需要选择你连接互联网的接口（以太网或Wi-Fi），而不是Loopback接口。

判断接口状态

每个接口旁边有一个小型实时流量图，显示该接口的实时活动情况。如果图表是蓝色平线，说明没有流量；如果有绿色的波浪，说明有流量。

移动鼠标到接口上，会弹出信息框显示：

• 接口名称
• IP地址（如果有）
• 接口类型（以太网、Wi-Fi等）
• 实时统计（包数量、字节数等）
• 捕获过滤器（如果设置了）

选择有流量的接口开始捕获，更容易看到结果。

特殊接口说明

• Loopback接口：用于本地进程间通信。捕获这个接口可以看到本地服务器的流量，如localhost上的Web服务器。
• any接口（Linux）：捕获所有接口的流量。这会产生大量数据，通常不推荐使用。
• 远程接口：可以通过rpcapd协议捕获远程主机的流量。这需要远程主机运行rpcapd服务。

3.2 配置捕获选项

点击接口旁边的齿轮图标（或菜单Capture→Options），打开捕获选项对话框。这里可以配置各种捕获参数。

捕获过滤器

在”Capture Filter”输入框中输入捕获过滤表达式。只有符合条件的数据包才会被捕获，不符合条件的包直接丢弃，不会占用磁盘空间。

捕获过滤器的语法基于BPF（Berkeley Packet Filter），相对简单。常见的例子：

• host 192.168.1.1：只捕获与192.168.1.1通信的包
• port 80：只捕获80端口的流量
• tcp port 443：只捕获TCP协议443端口的流量
• not port 22：排除22端口的流量
• host www.example.com and port 80：组合条件

如果不确定如何写过滤器，点击”Capture Filter”按钮会打开过滤器表达式构建器，可以通过图形界面构建过滤表达式。

接口设置

在”Interface”下拉框中选择要捕获的接口。可以同时选择多个接口，Wireshark会分别捕获每个接口的流量并保存在不同的文件中。

“Buffer size”设置捕获缓冲区大小，默认是1MiB。如果捕获高速流量，可能需要增加缓冲区防止丢包。

“Capture Monitor Mode”（监听模式）选项对于无线捕获很重要。勾选后，Wireshark会捕获无线网络中的所有帧，包括不是发给你的帧。这需要无线网卡支持监听模式。

“Capture Promiscuous Mode”（混杂模式）选项对于有线捕获很重要。勾选后，网卡会接收所有经过的帧，而不是只接收发给自己的帧。这需要网卡和驱动支持混杂模式。

停止捕获条件

可以设置自动停止捕获的条件：

• “Files”：保存到多个文件，每个文件达到指定大小或时间后切换
• “Stop Capture Automatically After”：捕获指定数量的包或时间后自动停止
• “Ring Buffer”：使用环形缓冲，只保留最近的N个文件

这些选项适合长期无人值守的捕获。

存储设置

“Output File”指定保存捕获结果的文件路径。如果未指定，捕获数据只保存在内存中，退出Wireshark会丢失。

文件格式默认是pcapng，这是现代的格式，支持注释、多个接口、接口统计等增强功能。如果需要兼容旧工具，可以选择pcap格式。

3.3 开始和停止捕获

配置好捕获选项后，点击”Start”按钮开始捕获。Wireshark会切换到捕获界面，主工具栏的开始捕获按钮变为停止捕获按钮（红色方块）。

捕获过程中

捕获过程中，数据包列表会实时更新显示新捕获的数据包。状态栏显示：

• 捕获的包数量
• 捕获持续时间
• 捕获的数据量

可以进行以下操作：

• 在数据包列表中查看已经捕获的包（捕获仍在后台进行）
• 应用显示过滤器筛选关注的包
• 标记重要的包
• 查看统计信息

停止捕获

点击停止捕获按钮（红色方块）或菜单Capture→Stop，停止捕获。Wireshark会显示捕获摘要：

• 捕获持续时间
• 捕获的包数量
• 被过滤器丢弃的包数量（如果设置了捕获过滤器）
• 捕获的数据量

停止后可以分析捕获的数据，也可以重新开始新的捕获。

3.4 第一个捕获实例

让我们完成一个简单的捕获实例：捕获浏览器访问网站的数据包。

准备工作

1. 启动Wireshark
2. 选择你正在使用的网络接口（以太网或Wi-Fi）
3. 确保该接口有流量（流量图有绿色波动）

开始捕获

1. 点击该接口的蓝色鲨鱼鳍图标开始捕获
2. 打开浏览器，访问一个网站（如www.example.com）
3. 等待页面加载完成
4. 回到Wireshark，点击红色方块停止捕获

分析结果

现在应该能看到许多数据包。在过滤器工具栏输入http，只显示HTTP协议的包。

你应该能看到：

1. DNS查询：查询www.example.com的IP地址
2. TCP三次握手：建立与Web服务器的TCP连接
3. HTTP请求：GET / HTTP/1.1
4. TCP数据传输：服务器发送的响应数据
5. TCP连接终止：四次挥手

点击HTTP请求包，在详情窗格展开HTTP协议，可以看到请求方法（GET）、请求的URL、User-Agent等信息。点击HTTP响应包，可以看到状态码（200 OK）、Content-Type等信息。

这是最基础的捕获实例，展示了Wireshark的基本工作流程：选择接口→开始捕获→产生流量→停止捕获→分析结果。

sequenceDiagram
    participant User as 用户
    participant WS as Wireshark
    participant DNS as DNS服务器
    participant Web as Web服务器

    User->>WS: 1. 选择网络接口
    User->>WS: 2. 开始捕获
    User->>Web: 3. 访问网站

    Web->>DNS: 4. DNS查询
    DNS-->>Web: 5. DNS响应
    Web->>Web: 6. TCP三次握手
    Web->>Web: 7. HTTP请求/响应
    Web->>Web: 8. TCP四次挥手

    User->>WS: 9. 停止捕获
    WS-->>User: 10. 显示捕获数据

图表讲解：

这张序列图展示了完整的捕获流程，从选择接口到查看结果。每一步都很关键，漏掉任何一步都无法成功捕获数据。

选择接口是第一步，也是最容易出错的一步。如果选择了错误的接口（如选择了以太网但实际用Wi-Fi上网），就捕获不到任何流量。一个技巧是看接口的流量图，有流量（绿色波浪）的接口通常是正在使用的接口。

开始捕获后，Wireshark进入捕获模式，此时产生流量会被记录。如果捕获前已经有流量，那部分流量不会被捕获。所以正确的顺序是：先开始捕获，再产生流量。

访问网站会产生多种协议的流量：DNS查询解析域名、TCP连接建立、HTTP请求响应等。这些都是很好的学习材料。

停止捕获后，捕获的数据保存在内存中，可以开始分析。如果需要保存，记得在退出前保存到文件。

---

四、显示过滤器使用

4.1 显示过滤器基础

显示过滤器是Wireshark最强大的功能之一。它不改变捕获的数据，只是在显示时筛选出符合条件的包。与捕获过滤器不同，显示过滤器可以随时修改，不会丢失数据。

为什么需要显示过滤器

一次捕获可能包含成千上万个数据包，手动查找效率很低。显示过滤器可以：

• 只显示特定协议的包（如只看HTTP）
• 只显示特定主机的包（如只看与某服务器的通信）
• 只显示特定端口的包（如只看Web流量）
• 组合多个条件进行复杂筛选

基本语法

显示过滤器的基本格式是：协议.字段 比较操作符 值

例如：

• ip.addr == 192.168.1.1：显示IP地址为192.168.1.1的包
• tcp.port == 80：显示TCP端口为80的包
• http.request.method == "GET"：显示HTTP GET请求
• frame.time > "2024-01-01"：显示2024年后的包

比较操作符

操作符	说明	例子
==	等于	ip.addr == 10.0.0.1
!=	不等于	tcp.port != 80
>	大于	frame.len > 1000
<	小于	frame.len < 100
>=	大于等于	tcp.len >= 500
⇐	小于等于	tcp.len <= 500
contains	包含字符串	http contains "GET"
matches	正则匹配	http.request.uri matches "\\.php$"

逻辑操作符

操作符	说明	例子
and	逻辑与	ip.addr == 10.0.0.1 and tcp.port == 80
or	逻辑或	tcp.port == 80 or tcp.port == 443
not	逻辑非	not arp
xor	逻辑异或	tcp.flags.syn == 1 and not tcp.flags.ack == 1

4.2 常用过滤器示例

掌握一些常用的过滤器表达式，可以大幅提高分析效率。

按协议过滤

http                    # 只显示HTTP包
tcp                     # 只显示TCP包
dns                     # 只显示DNS包
not icmp                # 排除ICMP包

按地址过滤

ip.addr == 192.168.1.100          # 显示与此IP通信的所有包
ip.src == 192.168.1.100           # 只显示源IP
ip.dst == 192.168.1.100           # 只显示目的IP
eth.addr == 00:11:22:33:44:55     # 按MAC地址过滤

按端口过滤

tcp.port == 80            # TCP端口80
udp.port == 53            # UDP端口53
tcp.srcport == 12345      # 源端口12345
tcp.dstport == 443        # 目的端口443

组合过滤

# 显示与特定主机通信的HTTP流量
ip.addr == 192.168.1.100 and http

# 显示来自特定主机的Web流量
ip.src == 192.168.1.100 and (tcp.port == 80 or tcp.port == 443)

# 显示所有TCP重传
tcp.analysis.retransmission

# 显示TCP SYN包（连接请求）
tcp.flags.syn == 1 and not tcp.flags.ack == 1

# 显示HTTP POST请求
http.request.method == "POST"

# 显示HTTP错误响应
http.response.code >= 400

4.3 过滤器构建技巧

Wireshark提供了多种方式帮助构建正确的显示过滤器。

自动完成

在过滤器工具栏输入时，Wireshark会提供自动完成建议。输入ip.会显示所有可用的IP字段；输入tcp.会显示所有TCP字段。使用Tab键或Enter键接受建议。

这不仅能提高输入速度，还能避免拼写错误。Wireshark只建议存在的协议和字段，所以接受的建议一定是有效的。

过滤器表达式按钮

点击过滤器工具栏右侧的书本图标，打开显示过滤器表达式对话框。这里可以：

1. 浏览所有可用的协议和字段
2. 查看字段的类型和说明
3. 通过图形界面构建过滤表达式
4. 测试过滤器语法是否正确

保存过滤器

经常使用的过滤器可以保存以便重复使用。输入过滤表达式后，点击过滤器工具栏右侧的保存按钮（软盘图标），给过滤器命名并保存。

保存的过滤器会出现在过滤器工具栏的下拉列表中，随时可以快速应用。

从数据包构建过滤器

右键点击数据包详情窗格中的任何字段，选择”Apply as Filter”→“Selected”，可以将该字段的值作为过滤条件。例如，右键点击IP地址字段，选择”Apply as Filter”→“Selected”，会显示ip.addr == 192.168.1.100的过滤结果。

这是最快速的过滤器构建方式，不需要记忆任何语法。

4.4 过滤器调试技巧

编写复杂过滤器时难免出错，Wireshark提供了调试帮助。

语法检查

输入过滤器后，如果表达式有语法错误，背景会变红。点击过滤器工具栏的”Apply”按钮，会在状态栏显示错误信息。

常见错误包括：

• 协议名称拼写错误：htp应为http
• 字段不存在：http.nonexistent
• 操作符错误：ip.addr = 192.168.1.1应为==
• 引号不匹配：http.host == "example.com缺少右引号

分步构建

构建复杂过滤器时，建议分步构建并逐步验证。例如，要构建”显示来自192.168.1.100的HTTP POST请求”过滤器：

1. 先输入ip.src == 192.168.1.100，验证是否正确
2. 添加and http，验证ip.src == 192.168.1.100 and http
3. 再添加and http.request.method == "POST"

这样每次只添加一个条件，出错时容易定位问题。

使用括号

组合多个条件时，使用括号明确优先级。虽然and的优先级高于or，但显式使用括号更清晰：

# 不清晰（虽然正确）
tcp.port == 80 or tcp.port == 443 and ip.addr == 192.168.1.1

# 清晰
(tcp.port == 80 or tcp.port == 443) and ip.addr == 192.168.1.1

---

五、捕获文件管理

5.1 保存捕获文件

捕获的数据默认保存在内存中，退出Wireshark会丢失。需要长期保存的数据应该保存到文件。

保存方法

1. 点击主工具栏的保存按钮（软盘图标）
2. 或菜单File→Save
3. 或快捷键Ctrl+S

打开保存对话框，选择：

• 文件位置
• 文件名
• 文件格式（默认pcapng）

文件格式选择

Wireshark支持多种文件格式：

格式	说明	推荐
pcapng	现代格式，支持增强功能	✓ 推荐
pcap	传统格式，兼容性好	需要兼容旧工具时
pdml	XML格式，可脚本处理	特殊需求
psml	另一种XML格式	特殊需求
json	JSON格式	特殊需求

建议始终使用pcapng格式。它支持：

• 多接口捕获
• 捕获注释
• 接口统计信息
• 数据包注释
• 数据包标记

保存范围

默认保存所有数据包，但可以只保存部分：

• “All packets”：所有包
• “Selected packet”：只保存选中的单个包
• “Marked packets”：只保存标记的包
• “Displayed packets”：只保存当前过滤显示的包
• “From X to Y”：保存指定范围

这对于从大量数据中提取有用部分很有用。

5.2 打开捕获文件

打开已保存的捕获文件很简单：

方法一：双击文件图标（如果文件关联了Wireshark）

方法二：在Wireshark中

1. 点击打开按钮（文件夹图标）
2. 或菜单File→Open
3. 或快捷键Ctrl+O
4. 选择文件打开

最近文件

File→Recent Files菜单列出最近打开的文件，可以快速打开。

拖放打开

可以直接将文件拖到Wireshark窗口打开。

5.3 合并捕获文件

有时需要将多个捕获文件合并为一个文件。例如，从不同时间或不同位置捕获的文件需要一起分析。

合并方法

菜单File→Merge，打开合并对话框。选择要合并的文件和合并方式：

合并方式

• “Chronologically”：按时间戳合并，保持时间顺序
• “Prepend packets”：将新文件放在前面
• “Append packets”：将新文件放在后面

通常选择”Chronologically”，这样合并后的文件保持正确的时间顺序。

合并注意事项

1. 确保文件格式兼容（pcapng与pcapng合并最好）
2. 合并后文件大小会增加，注意磁盘空间
3. 合并可能需要一些时间，大文件可能较慢
4. 合并后检查文件是否正常

5.4 导出数据

Wireshark可以将捕获数据导出为各种格式，方便在其他工具中使用。

导出对象

菜单File→Export Objects可以导出特定协议的对象：

• HTTP：导出HTML、图片、脚本等
• DICOM：导出医学图像
• SMB：导出文件
• IMF：导出邮件

例如，导出HTTP对象可以提取网页中的图片、CSS、JavaScript等文件，便于离线分析。

导出为其他格式

菜单File→Export Packet Dissections可以导出为：

• 纯文本（.txt）
• CSV（.csv）
• JSON（.json）
• PDML（.pdml）
• PSML（.psml）

CSV格式特别有用，可以在Excel中打开进行统计分析。例如，导出HTTP请求的URL列表，然后分析访问频率。

导出特定字节

在数据包字节窗格选中部分字节，右键选择”Export Selected Packet Bytes”，可以导出选中的字节为二进制文件。这对于提取嵌入在协议中的文件很有用。

5.5 压缩和加密

压缩捕获文件

pcapng格式支持压缩，可以减小文件大小。保存时勾选”Compress with gzip”选项即可。

压缩比取决于流量类型。文本协议（如HTTP）压缩比较小，二进制协议（如视频）压缩比也很小。通常能压缩到原始大小的50-80%。

加密捕获文件

如果捕获数据包含敏感信息，应该加密保存。Wireshark本身不提供加密功能，但可以使用：

• 磁盘加密（如BitLocker、FileVault）
• 文件加密工具（如7-Zip加密压缩）
• 操作系统级的文件加密（如EFS）

5.6 文件管理最佳实践

命名规范

使用有意义的文件名，包含关键信息：

• 时间：2024-03-08
• 问题类型：web-slow、network-down
• 主机或位置：server1、office-shanghai
• 格式：.pcapng

例如：2024-03-08-web-slow-server1.pcapng

添加注释

pcapng格式支持捕获注释。菜单Capture→Capture File Properties，可以添加注释说明捕获的目的、环境、发现的问题等。这对于后续分析或团队共享很有帮助。

定期归档

长期捕获的文件应该定期归档到离线存储。保留所有捕获文件会占用大量磁盘空间，且大部分文件不会再使用。

归档策略：

• 保留最近3个月的捕获文件在线
• 更早的文件移动到归档存储
• 特别重要的案例永久保存

匿名化

如果需要与第三方共享捕获文件，注意删除敏感信息：

• IP地址
• MAC地址
• 主机名
• 用户名
• 文件内容

Wireshark没有内置的匿名化工具，需要手动编辑或使用第三方工具。

---

六、基础配置与偏好设置

6.1 用户配置文件

Wireshark支持多个用户配置文件（Profile），每个配置文件保存独立的界面布局、颜色规则、过滤器等设置。

创建配置文件

菜单Edit→Configuration Profiles，打开配置文件管理对话框。可以：

• 创建新配置文件
• 删除配置文件
• 复制配置文件
• 导入/导出配置文件

使用场景

不同场景使用不同配置文件：

• “Default”：日常使用
• “Security”：安全分析，配置特定颜色规则
• “Voice”：VoIP分析，配置电信相关设置
• “Demo”：演示使用，调整字体和布局

切换配置文件会立即应用该配置文件的所有设置。

6.2 界面偏好设置

菜单Edit→Preferences打开偏好设置对话框，包含大量可配置选项。

外观设置

Appearance选项卡配置界面外观：

• 主题：浅色/深色
• 字体：可以分别设置列表窗格、详情窗格、字节窗格的字体
• 列：配置数据包列表显示的列和顺序
• 颜色：配置各种协议和状态的颜色标记

布局设置

Layout选项卡配置窗口布局：

• 窗格布局：选择三窗格或四窗格布局
• 窗格位置：可以上下或左右排列窗格
• 滚动方向：配置各窗格是否同步滚动

捕获设置

Capture选项卡配置捕获相关选项：

• 默认接口：启动时自动选择的接口
• 默认捕获过滤器
• 是否实时更新包列表
• 是否自动滚动到最新包

6.3 协议偏好设置

Protocols选项卡包含每个协议的特定设置。协议数量众多，设置也各不相同。

常用协议设置

• HTTP：配置是否验证HTTP头、是否解压缩内容
• TCP：配置是否分析TCP序列号、是否检测重传
• DNS：配置是否尝试解析域名
• TLS：配置解密密钥的位置

这些设置影响Wireshark解析协议的方式，根据分析需求调整。

6.4 名称解析设置

Name Resolution选项卡配置名称解析功能。

名称解析类型

• MAC地址解析：解析MAC地址为厂商名称（OUI查找）
• 网络名称解析：解析IP地址为主机名（DNS查询）
• 传输名称解析：解析端口号为服务名（如80→http）

注意事项

名称解析会增加分析时间，特别是捕获文件很大时。名称解析结果也会缓存在本地，可能不是最新的。

对于安全分析，通常关闭名称解析，避免额外的网络查询干扰分析。

6.5 统计设置**

Statistics选项卡配置统计相关选项：

• 是否启用协议层次统计
• 是否启用会话统计
• 是否启用端点统计

这些统计需要额外计算，影响性能。如果不需要，可以关闭以提高速度。

---

七、核心概念总结

概念名称	定义	操作方式	注意事项
网络接口	用于捕获数据的网卡或虚拟接口	在启动界面选择	选择实际有流量的接口
捕获过滤器	捕获时应用的过滤条件	在捕获选项中设置	不符合条件的包永久丢失
显示过滤器	显示时应用的过滤条件	在过滤器工具栏输入	可随时修改，不丢失数据
混杂模式	接收所有经过的帧	在捕获选项中勾选	需要网卡和驱动支持
监听模式	捕获无线所有帧	在捕获选项中勾选	需要无线网卡支持
用户配置文件	保存独立设置的配置	Edit→Configuration Profiles	不同场景使用不同配置
注释	为捕获文件添加说明	Capture File Properties	帮助后续理解和共享
合并	将多个文件合并为一个	File→Merge	注意选择正确的合并方式
导出对象	提取协议中的文件	File→Export Objects	HTTP、SMB等协议支持
压缩	减小文件大小	保存时勾选压缩选项	压缩比取决于内容类型

---

常见问题解答

Q1：为什么Wireshark捕获不到任何数据包？

答：Wireshark捕获不到数据包通常有几个原因，需要逐一排查。最常见的问题是选择了错误的网络接口。如果你的电脑有多个网卡（以太网、Wi-Fi、虚拟网卡等），必须选择实际正在使用的接口才能捕获流量。判断方法是看接口旁边的实时流量图，有绿色波动的接口才有流量。

另一个常见原因是权限不足。在Windows上，普通用户默认没有捕获权限，必须以管理员身份运行Wireshark，或配置Npcap允许普通用户捕获。在Linux上，用户必须属于wireshark组或以root身份运行。Linux上可以运行sudo wireshark启动，但这不是推荐做法，更好的方式是将用户添加到wireshark组。

第三个可能是网络接口没有流量。如果你在流量很少的网络上捕获（如刚开机还没有产生流量），可能需要等待或主动产生流量（如打开浏览器访问网站）。一个快速验证方法是在过滤器工具栏输入tcp or udp，过滤掉可能干扰的广播流量，更容易看到实际的应用流量。

最后，某些安全软件（如杀毒软件、防火墙）可能会阻止Wireshark的捕获功能。需要检查这些软件的设置，确保允许Wireshark访问网络接口。

Q2：如何只捕获特定网站（如www.example.com）的流量？

答：要只捕获特定网站的流量，需要使用捕获过滤器或显示过滤器。捕获过滤器在捕获时就应用，可以减少捕获的数据量；显示过滤器在已捕获的数据上应用，更灵活。

如果知道网站的IP地址，最简单的捕获过滤器是host www.example.com或host 93.184.216.34。这会捕获所有与该IP地址通信的数据包，无论是TCP还是UDP，哪个端口。

更精确的过滤器是host www.example.com and port 80，只捕获该网站的HTTP流量。如果是HTTPS，使用host www.example.com and port 443。

如果不知道IP地址，可以使用DNS名称host www.example.com，但这在某些情况下可能不准确（如果该域名解析到多个IP地址）。

最精确的方式是同时捕获多个端口：host www.example.com and (port 80 or port 443)。

如果是使用显示过滤器，可以输入http.host == "www.example.com"（对于HTTP）或tls.handshake.extensions_server_name == "www.example.com"（对于HTTPS）。

需要注意的是，如果网站使用CDN或负载均衡，可能多个IP地址提供同一服务。这种情况下，按域名过滤更准确，但HTTPS流量只能看到握手时的SNI字段，后续内容是加密的。

Q3：Wireshark显示的”Packet size limited during capture”是什么意思？

答：这个警告表示Wireshark捕获的数据包被截断了，没有捕获完整的包。每个数据包都有一个”捕获长度”（snaplen），默认通常是65535字节或更大。如果实际数据包超过这个长度，多余部分会被丢弃。

截断可能发生在几个场景：一是设置了较小的捕获长度限制（如某些脚本使用-s参数限制捕获长度）；二是捕获缓冲区设置过小，无法容纳完整的数据包；三是某些网卡或驱动对大包的支持有限。

被截断的数据包仍然有用，但信息不完整。例如，HTTP响应被截断可能看不到完整的响应内容；TCP包被截断可能看不到应用层协议的完整头部。

解决方法是增大捕获长度限制。在捕获选项中，取消”Limit each packet to”选项，或者将值设置得更大（如65535或更大）。这样可以捕获完整的以太网帧（最大约1500字节）或巨型帧（可达9000字节）。

另一个可能是这个包本身就被网络设备截断了。例如，某些中间设备（如防火墙、负载均衡器）可能会处理或修改数据包，导致包看起来被截断。这种情况下，截断发生在网络中，Wireshark只是如实记录了看到的内容。

被截断的包在Wireshark中会以特殊颜色标记（通常是红色或粉色），并在专家信息中给出警告。分析时需要注意这些包的信息可能不完整。

Q4：如何分析TCP连接的建立和终止过程？

答：分析TCP连接的建立和终止是网络分析的基本技能，Wireshark提供了很好的可视化支持。TCP连接建立通过三次握手完成，终止通过四次挥手完成，这些都可以在Wireshark中清楚地看到。

分析连接建立过程，首先需要找到TCP SYN包。可以使用显示过滤器tcp.flags.syn == 1 and not tcp.flags.ack == 1来显示所有SYN包。点击一个SYN包，查看详情窗格的TCP层，可以看到序列号、窗口大小、MSS、窗口缩放等选项。

然后查看后续的包。理想情况下，下一个包应该是SYN-ACK（tcp.flags.syn == 1 and tcp.flags.ack == 1），这是服务器对连接请求的确认。再下一个应该是ACK（tcp.flags.ack == 1 and not tcp.flags.syn == 1），客户端对服务器的确认。

这三个包（SYN、SYN-ACK、ACK）就是三次握手，在Wireshark中可以清楚地看到序列号和确认号的关系。Wireshark还提供了”TCP Stream”视图，可以以对话方式查看整个连接。

分析连接终止，可以查找FIN或RST包。使用过滤器tcp.flags.fin == 1 or tcp.flags.reset == 1。正常关闭是四次挥手：一方发送FIN，另一方ACK；然后另一方也发送FIN，第一方再ACK。异常关闭是单方发送RST立即终止连接。

Wireshark的专家信息系统会自动检测TCP连接问题，如重传、乱序、窗口满等。如果连接建立失败，专家信息会指出是SYN没有响应、被RST拒绝、还是超时。

对于复杂的连接问题，可以使用Statistics→TCP Stream Graphs查看各种图形化分析：时间序列图、往返时间图、吞吐量图、窗口缩放图等。这些图形有助于发现性能瓶颈。

Q5：如何在Linux服务器上使用Wireshark进行网络分析？

答：Linux服务器通常没有图形界面，直接运行Wireshark的图形版本不太现实。但实际上有两种主要方式在Linux服务器上进行网络分析：使用TShark命令行工具，或远程捕获到本地分析。

TShark是Wireshark的命令行版本，功能几乎一样强大，但没有图形界面。基本用法是：tshark -i eth0 -w capture.pcapng，这会捕获eth0接口的流量并保存到文件。捕获后可以复制到本地用Wireshark图形界面分析。

TShark也可以实时解析显示：tshark -i eth0，会以文本方式实时显示捕获的包。可以使用过滤器和显示选项，如tshark -i eth0 -Y "http.request.method == 'GET'" -T fields -e frame.number -e ip.src -e http.host，这会显示GET请求的包号、源IP和主机名。

远程捕获方式是在服务器上运行tcpdump -i eth0 -w - | wireshark -k -i -，这会将捕获的数据通过管道传给本地的Wireshark。需要配置SSH转发或rpcapd服务。

另一个有用技巧是在服务器上先捕获保存文件，然后用scp传到本地：tcpdump -i eth0 -w capture.pcapng，然后scp capture.pcapng user@local:~/。这样本地的Wireshark可以打开分析。

Linux上需要注意权限。普通用户默认不能捕获，需要将用户添加到wireshark组：sudo usermod -aG wireshark $USER。或者使用sudo tcpdump，但这不安全，不推荐。

对于长期无人值守捕获，可以使用tcpdump -i eth0 -w /tmp/capture-%Y%m%d-%H%M%S.pcapng -G 3600 -C 100，这会每小时创建一个新文件，每个文件最大100MB，文件名包含时间戳。

TShark和tcpdump使用相同的BPF过滤语法，所以之前学习的捕获过滤器完全适用。TShark的优势是能解析更多协议（与Wireshark相同），而tcpdump更轻量级。

---

总结

本文详细介绍了Wireshark的安装配置和基础操作，帮助你从零开始掌握Wireshark的使用。我们在不同操作系统平台上安装了Wireshark，了解了主窗口的各部分功能，完成了第一次数据包捕获，学会了使用显示过滤器分析流量，掌握了捕获文件的管理方法。

安装Wireshark的关键是正确配置捕获权限。Windows平台需要安装Npcap驱动并以管理员身份运行；Linux平台需要将用户添加到wireshark组；macOS平台需要配置ChmodBPF工具。权限配置正确后，Wireshark才能捕获网络流量。

界面导航是高效使用Wireshark的基础。数据包列表窗格显示所有包的概要，数据包详情窗格展示协议层次结构，数据包字节窗格显示原始字节。理解这三个窗格的关系和交互，能让你快速定位和分析数据包。

显示过滤器是Wireshark最强大的功能之一。掌握基本的过滤语法，结合自动完成和从包构建过滤器的技巧，可以快速从大量数据中筛选出关注的流量。建议多练习常用过滤器的编写，形成自己的过滤器库。

文件管理是长期使用Wireshark的重要技能。养成规范的命名习惯、添加捕获注释、定期归档文件，这些实践会让你的工作更有条理。pcapng格式的增强功能（多接口、注释、标记）应该优先使用。

完成本文学习后，你已经具备了独立完成基本网络分析的能力。下一步是深入学习网络协议知识，掌握更复杂的分析技巧。

下篇预告

下一篇我们将深入探讨网络协议的基础知识，带你了解OSI与TCP/IP模型、数据链路层协议、IP寻址、TCP/UDP原理以及常见应用层协议。你将学会理解协议的工作机制，为深入的流量分析打下坚实基础。