【2025版】最新Wireshark工具的安装及使用方法，零基础入门到精通，收藏这篇就够了

Python_chichi

于 2025-02-17 10:21:39 发布

阅读量3.3k

点赞数 15

分类专栏： web安全科技网络安全文章标签： wireshark 测试工具网络

本文链接：https://blog.csdn.net/Javachichi/article/details/145676305

版权

网络安全同时被 3 个专栏收录

829 篇文章

订阅专栏

科技

425 篇文章

订阅专栏

web安全

321 篇文章

订阅专栏

简介

WireShark是非常流行的网络封包分析工具，常被用于检测网络问题，攻击溯源，报文分析等工作。wireshark使用winPCAP作为接口，直接与网卡进行数据报文交换。通常被用于开发测试过程中定位问题。主要用于Windows上抓包。

wireshark抓包原理

主要基于网络接口的数据包捕获机制，调用网络库（如 libpcap）将网卡设为混杂模式，捕获所有流经网卡的数据包，再通过协议解析器对数据包进行解码和展示，最终生成可视化的网络数据流。

主要内容介绍：

1、Wireshark软件下载和安装以及Wireshark主界面介绍。

2、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。

二、Wireshark 开始抓包示例

1、打开wireshark ，主界面如下：

2、选择菜单栏上捕获-> 选项，勾选WLAN网卡（这里需要根据各自电脑网卡使用情况选择，简单的办法可以看使用的IP对应的网卡）。点击开始。启动抓包。

3、wireshark启动后，wireshark处于抓包状态中。

三、Wireshakr抓包界面介绍

`说明：数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏--视图 --> 着色规则。如下所示`Copy to clipboardErrorCopied

WireShark 主要分为这几个界面

应用显示过滤器，用于设置过滤条件进行数据包列表过滤。菜单路径：分析–> 显示过滤器。

数据包列表，显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。

数据包详细信息, 在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为

（1）Frame: 物理层的数据帧概况

功能介绍: 包含了捕获的整个数据包的元数据，例如捕获时间、长度、接口信息等。

用途: 帮助用户了解数据包在被捕获时的基本信息，比如数据包是从哪个网络接口捕获的，以及捕获的顺序。

示例: 包含帧编号、时间戳、帧长度、捕获长度等信息。

（2）Ethernet II: 数据链路层以太网帧头部信息

功能介绍: 显示以太网头部信息，如源 MAC 地址、目标 MAC 地址和以太网类型。

用途: 帮助查看数据包的链路层传输细节，特别是识别局域网中设备的物理地址和协议类型。

示例: 以太网帧中显示源和目的 MAC 地址，及协议类型（如 0x0800 表示 IPv4）。

（3）Internet Protocol Version 4: 互联网层IP包头部信息

功能介绍: 显示 IP 数据包的头部信息，如源 IP、目标 IP、TTL（生存时间）、协议类型等。

用途: 帮助网络管理员查看数据包的网络层信息，追踪数据包的来源和目的，分析路由和传输路径。

示例: 显示 IP 地址、分片标识、总长度、头部校验和等字段。

（4）Transmission Control Protocol: 传输层的数据段头部信息，此处是TCP

功能介绍:显示 TCP 头部的信息，包括源端口、目的端口、序列号、确认号、窗口大小、标志位（如 SYN、ACK）等。

用途: 分析 TCP 连接状态，识别握手、数据传输和断开连接的过程；排查丢包、重传等传输问题。

示例: 显示序列号、确认号、标志位（如 [SYN]、[ACK]）、窗口大小等信息，便于 TCP 会话跟踪。

（5）Hypertext Transfer Protocol: 应用层的信息，此处为HTTP协议

功能介绍: 显示请求和响应的详细内容，包括请求行（GET、POST）、状态码、头部字段（Host、User-Agent）和数据负载等。

用途: 分析 Web 请求和响应，查看页面加载性能，调试 Web 应用通信问题，如错误代码（404、500）等。

示例: 显示 HTTP 请求的 URL、方法、状态码和内容类型等信息，有助于快速了解 Web 流量。

（6）Media Type（媒体类型）

功能介绍: 在 Wireshark 中解析 HTTP 和其他应用层协议时，会显示内容的媒体类型（如 Content-Type: text/html），指明传输数据的格式类型。

用途: 分析数据包的具体内容类型（如 JSON、XML、HTML），特别是当分析 Web 流量或其他应用协议时，了解数据负载的类型和编码方式。

示例: 在 HTTP 响应中显示 Content-Type: application/json，指示这是一个 JSON 数据的响应。

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

Dissector Pane(数据包字节区)。显示每个捕获数据包的原始字节的部分。这一区域将数据包的原始内容以十六进制和 ASCII 格式展示，方便用户查看数据包的具体内容。

Wireshark过滤器设置

初学者使用wireshark时，将会得到大量的冗余数据包列表，以至于很难找到自己需要抓取的数据包部分。wireshark工具中自带了两种类型的过滤器，学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

（1）抓包过滤器

捕获过滤器的菜单栏路径为捕获-选项。用于在抓取数据包前设置。可以添加新的过滤条件

如何使用？可以在抓取数据包前设置如下。

ip host 113.137.40.193 and tcp表示只捕获主机IP为113.137.40.193的tcp数据包。获取结果如下：

（2）显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛或者没有设置导致抓取的数据包内容较多时使用显示过滤器设置条件过滤以方便分析。同样上述场景，在捕获时未设置抓包过滤规则直接通过网卡进行抓取所有数据包，如下

执行ping www.huawei.com获取的数据包列表如下

观察上述获取的数据包列表，含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 118.180.32.61 and icmp。并进行过滤。表示只显示ICPM协议且源主机IP或者目的主机IP为118.180.32.61 的数据包。

说明：协议名称icmp要小写。

上述介绍了抓包过滤器和显示过滤器的基本使用方法。在组网不复杂或者流量不大情况下，使用显示器过滤器进行抓包后处理就可以满足我们使用。下面介绍一下两者间的语法以及它们的区别。

wireshark过滤器表达式的规则

1、抓包过滤器语法

（1）协议过滤

比较简单，直接在抓包过滤框中直接输入协议名即可。

tcp，只显示TCP协议的数据包列表
http，只查看HTTP协议的数据包列表
icmp，只显示ICMP协议的数据包列表

（2）IP过滤

host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104

（3）端口过滤

port 80
src port 80
dst port 80

（4）逻辑运算符&& 与、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取源地址为192.168.1.104、目标端口为80的数据包
host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包
！broadcast 不抓取广播数据包

2、显示过滤器语法和实例

（1）比较操作符

== 等于
！= 不等于
(>) 大于
< 小于
（>=）大于等于
<= 小于等于

（2）协议过滤

比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

tcp，只显示TCP协议的数据包列表
http，只查看HTTP协议的数据包列表
icmp，只显示ICMP协议的数据包列表

（3） ip过滤

ip.src ==113.137.40.193 显示源地址为113.137.40.193的数据包列表

ip.dst==113.137.40.193, 显示目标地址为113.137.40.193的数据包列表

ip.addr == 113.137.40.193 显示源IP地址或目标IP地址为113.137.40.193的数据包列表

（4）端口过滤

tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

（5） Http模式过滤

http.request.method==“GET”, 只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

过滤多个条件组合时，使用and/or。比如获取IP地址为118.180.32.61的ICMP数据包表达式为ip.addr == 118.180.32.61 and icmp

（7）按照数据包内容过滤。假设我要以http层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。如下

右键单击选中后出现如下界面

选中Select后在过滤器中显示如下

（8）http追踪使用：在网络分析和故障排查中，HTTP 流追踪是一个重要的过程，用于监控和分析通过 HTTP 协议进行的数据传输。

追踪流是监控和分析网络流量的有效方法。可以详细了解数据包的传输过程、识别性能问题和故障点。流追踪对于调试网络应用、优化性能以及确保网络安全至关重要。

简介

wireshark抓包原理

主要内容介绍：

1、Wireshark软件下载和安装以及Wireshark主界面介绍。

2、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。

二、Wireshark 开始抓包示例

1、打开wireshark ，主界面如下：

3、wireshark启动后，wireshark处于抓包状态中。

三、Wireshakr抓包界面介绍

`说明：数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏--视图 --> 着色规则。如下所示`Copy to clipboardErrorCopied

WireShark 主要分为这几个界面

应用显示过滤器，用于设置过滤条件进行数据包列表过滤。菜单路径：分析–> 显示过滤器。

数据包列表，显示捕获到的数据包，每个数据包包含编号，时间戳，源地址，目标地址，协议，长度，以及数据包信息。不同协议的数据包使用了不同的颜色区分显示。

数据包详细信息, 在数据包列表中选择指定数据包，在数据包详细信息中会显示数据包的所有详细信息内容。数据包详细信息面板是最重要的，用来查看协议中的每一个字段。各行信息分别为

（1）Frame: 物理层的数据帧概况

功能介绍: 包含了捕获的整个数据包的元数据，例如捕获时间、长度、接口信息等。

用途: 帮助用户了解数据包在被捕获时的基本信息，比如数据包是从哪个网络接口捕获的，以及捕获的顺序。

示例: 包含帧编号、时间戳、帧长度、捕获长度等信息。

（2）Ethernet II: 数据链路层以太网帧头部信息

功能介绍: 显示以太网头部信息，如源 MAC 地址、目标 MAC 地址和以太网类型。

用途: 帮助查看数据包的链路层传输细节，特别是识别局域网中设备的物理地址和协议类型。

示例: 以太网帧中显示源和目的 MAC 地址，及协议类型（如 0x0800 表示 IPv4）。

（3）Internet Protocol Version 4: 互联网层IP包头部信息

功能介绍: 显示 IP 数据包的头部信息，如源 IP、目标 IP、TTL（生存时间）、协议类型等。

用途: 帮助网络管理员查看数据包的网络层信息，追踪数据包的来源和目的，分析路由和传输路径。

示例: 显示 IP 地址、分片标识、总长度、头部校验和等字段。

（4）Transmission Control Protocol: 传输层的数据段头部信息，此处是TCP

功能介绍:显示 TCP 头部的信息，包括源端口、目的端口、序列号、确认号、窗口大小、标志位（如 SYN、ACK）等。

用途: 分析 TCP 连接状态，识别握手、数据传输和断开连接的过程；排查丢包、重传等传输问题。

示例: 显示序列号、确认号、标志位（如 [SYN]、[ACK]）、窗口大小等信息，便于 TCP 会话跟踪。

（5）Hypertext Transfer Protocol: 应用层的信息，此处为HTTP协议

功能介绍: 显示请求和响应的详细内容，包括请求行（GET、POST）、状态码、头部字段（Host、User-Agent）和数据负载等。

用途: 分析 Web 请求和响应，查看页面加载性能，调试 Web 应用通信问题，如错误代码（404、500）等。

示例: 显示 HTTP 请求的 URL、方法、状态码和内容类型等信息，有助于快速了解 Web 流量。

（6）Media Type（媒体类型）

功能介绍: 在 Wireshark 中解析 HTTP 和其他应用层协议时，会显示内容的媒体类型（如 Content-Type: text/html），指明传输数据的格式类型。

用途: 分析数据包的具体内容类型（如 JSON、XML、HTML），特别是当分析 Web 流量或其他应用协议时，了解数据负载的类型和编码方式。

示例: 在 HTTP 响应中显示 Content-Type: application/json，指示这是一个 JSON 数据的响应。

TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

Dissector Pane(数据包字节区)。显示每个捕获数据包的原始字节的部分。这一区域将数据包的原始内容以十六进制和 ASCII 格式展示，方便用户查看数据包的具体内容。

Wireshark过滤器设置

（1）抓包过滤器

捕获过滤器的菜单栏路径为捕获-选项。用于在抓取数据包前设置。可以添加新的过滤条件

如何使用？可以在抓取数据包前设置如下。

ip host 113.137.40.193 and tcp表示只捕获主机IP为113.137.40.193的tcp数据包。获取结果如下：

（2）显示过滤器

执行ping www.huawei.com获取的数据包列表如下

说明：协议名称icmp要小写。

wireshark过滤器表达式的规则

1、抓包过滤器语法

（1）协议过滤

比较简单，直接在抓包过滤框中直接输入协议名即可。

tcp，只显示TCP协议的数据包列表
http，只查看HTTP协议的数据包列表
icmp，只显示ICMP协议的数据包列表

（2）IP过滤

host 192.168.1.104
src host 192.168.1.104
dst host 192.168.1.104

（3）端口过滤

port 80
src port 80
dst port 80

（4）逻辑运算符&& 与、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取源地址为192.168.1.104、目标端口为80的数据包
host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包
！broadcast 不抓取广播数据包

2、显示过滤器语法和实例

（1）比较操作符

== 等于
！= 不等于
(>) 大于
< 小于
（>=）大于等于
<= 小于等于

（2）协议过滤

比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

tcp，只显示TCP协议的数据包列表
http，只查看HTTP协议的数据包列表
icmp，只显示ICMP协议的数据包列表

（3） ip过滤

ip.src ==113.137.40.193 显示源地址为113.137.40.193的数据包列表

ip.dst==113.137.40.193, 显示目标地址为113.137.40.193的数据包列表

ip.addr == 113.137.40.193 显示源IP地址或目标IP地址为113.137.40.193的数据包列表

（4）端口过滤

tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

（5） Http模式过滤

http.request.method==“GET”, 只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

过滤多个条件组合时，使用and/or。比如获取IP地址为118.180.32.61的ICMP数据包表达式为ip.addr == 118.180.32.61 and icmp

（7）按照数据包内容过滤。假设我要以http层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。如下

右键单击选中后出现如下界面

选中Select后在过滤器中显示如下

（8）http追踪使用：在网络分析和故障排查中，HTTP 流追踪是一个重要的过程，用于监控和分析通过 HTTP 协议进行的数据传输。

计算机热门就业方向

从目前市场情况来讲，网络安全的就业前景是非常不错的，2022年的统计数据，网络安全专业的缺口已经增长到140万人。

1、就业岗位多，发展方向广

①就业环境：网络安全可以在计算机科学与技术、信息通信、电子商务、互联网金融、电子政务等领域从事相关工作，还可以在政府机关事业单位、银行、保险、证券等金融机构，电信、传媒等行业从事相关工作。

②就业岗位：网络安全工程师、渗透测试工程师、代码审计工程师、等级保护工程师、安全运维工程师、安全运营工程师、安全服务工程师等。

2、薪资待遇可观，提升较快

作为一个新兴行业，网络安全人才的市场需求远远大于供给，企业想真正招到人才，就必须在薪酬福利上有足够的竞争优势。因此，网络安全领域的薪资近年来也呈现稳步增长的态势。

根据工信部发布的《网络安全产业人才发展报告》显示，网络安全人才平均年薪为21.28万元，整体薪资水平较高。数据显示，网络安全人才年薪主要集中在10-20万元，占比40.62%，与往年持平；其次是20-30万元，占比为38.43%，较2020年占比19.48%有显著提高；而年薪在10万以下人才占比由2020年的19.74%下降至2022年的9.08%。由此可见，网络安全行业作为新兴赛道，尚在快速发展阶段，从业人员薪资水平提升较快，也显示出网络安全行业相对更重视人才留存。

3、职业发展空间大

从网络安全专业学习的主要内容来看，包括linux运维、Python开发、渗透测试、代码审计、等级保护、应急响应、风险评估等。可见该网络安全专业的技术性很强，具有鲜明的专业特点，是一门能够学到真正技术的工科类专业之一。

因此，在职业发展上，网络安全专业除了就业岗位众多之外，由于专业技术性较强，在工作单位将处于技术核心骨干地位，职业发展空间很大。

盘点网络安全的岗位汇总

0****1

岗位一：渗透测试工程师

**岗位释义：**模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议。有些大厂，例如奇安信，甚至会将渗透岗位分为红蓝两方，对候选人的技术要求比较高，大部分刚入行的新人，也将渗透岗位作为后期的发展目标。

岗位职责：

负责对客户网络、系统、应用进行渗透测试、安全评估和安全加固
在出现网络攻击或安全事件时，提供应急响应服务，帮助用户恢复系统及调查取证
针对客户网络架构，建议合理的网络安全解决方案

**工作难度：**5颗星

薪资现状：

0****2

岗位二：安全运维工程师

**岗位释义：**维护网络系统的正常、安全运行，如果受到黑客攻击，则需要进行应急响应和入侵排查安全加固。很多刚毕业入行的新人，基本都从运维做起。

岗位职责：

日常终端维护，操作系统安装加固
完成网络安全设备故障排查、处置
完成相关管理制度文档的编写和提交

**工作难度：**3颗星

薪资现状：

0****3

岗位三：安全运营工程师

**岗位释义：**在运维的基础上，高效可持续地不断提升企业的安全防御能力。

岗位职责：

负责监控、扫描等各类安全策略的制定和优化
负责信息安全事件的应急响应
参与网络安全评估工作、安全加固工作和监控等等

**工作难度：**3颗星

薪资现状：

0****4

岗位四：安全开发工程师

**岗位释义：**顾名思义，对安全产品及平台、策略等进行开发工作。

岗位职责：

负责网络安全产品的系统技术设计、代码开发与实现、单元测试、静态检查、本地构建等工作；
参与公司其他产品的系统技术设计以及研发工作。

**工作难度：**5颗星

薪资现状：

0****5

岗位五：等保测评工程师

**岗位释义：**等保测评也叫等级保护测评，主要负责开展信息安全等级保护测评、信息安全风险评估、应急响应、信息安全咨询等工作。

岗位职责：

网络安全等级保护测评项目实施；
Web渗透测试、操作系统安全加固等安全项目实施配合

**工作难度：**3颗星

薪资现状：

0****6

岗位六：安全研究工程师

**岗位释义：**网络安全领域的研究人才。

岗位职责：

跟踪和分析国内外安全事件、发展趋势和解决方案
承担或参与创新型课题研究
参与项目方案设计，组织推动项目落实，完成研究内容、
负责网络安全关键技术攻关和安全工具研发

**工作难度：**5颗星

薪资现状：

0****7

岗位七：漏洞挖掘工程师

**岗位释义：**主要从事逆向、软件分析、漏洞挖掘工作

岗位职责：

通过模拟实施特定方法所获得的结果，评估计算机网络系统安全状况；
通过特定技术的实施，寻找网络安全漏洞，发现但不利用漏洞。

**工作难度：**5颗星

薪资现状：

0****8

岗位八：安全管理工程师

**岗位释义：**负责信息安全相关流程、规范、标准的制定和评审，负责公司整体安全体系建设。

岗位职责：

全业务系统网络安全技术体系的规划和建设，优化网络安全架构；
负责网络安全相关流程、规范、标准的指定和评审，高效处置突发事件；
负责网络安全防护系统的建设，提升网络安全保障水平；

**工作难度：**4颗星

0****9

岗位九：应急响应工程师

**岗位释义：**主要负责信息安全事件应急响应、攻击溯源、取证分析工作，参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。

岗位职责：

负责信息安全事件应急响应、攻击溯源、取证分析工作；
对安全事件的应急处置进行经验总结，开展应急响应培训；
负责各业务系统的上线前安全测试（黑盒白盒）及渗透测试工作；
参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。
跟踪国内外安全热点事件、主流安全漏洞、威胁情报、黑灰产动态并进行分析研究，形成应对方案；

**工作难度：**4颗星

薪酬现状：

岗位十：数据安全工程师

**岗位释义：**主要对公司的数据安全的日常维护和管理工作，确保公司数据安全。

岗位职责：

负责数据安全日常维护和管理工作，包括数据安全审核、数据安全事件的监控与响应、安全合规的审计与调查等；
负责数据安全标准规范的制定和管理，包括数据安全需求识别、风险分析、数据分级分类、数据脱敏、数据流转、泄露防护、权限管控等；推进相关安全管控策略在平台落地、执行。
负责开展与数据全生命周期管理有关的各项数据安全工作;
负责跨平台、跨地域数据传输、交互等数据安全方案制定与落地
定期组织开展数据安全自评工作，发现潜在数据安全风险，制定相应的管控措施，并推进落实整改。

**工作难度：**4颗星

薪酬现状：