从零开始学 Wireshark:网络分析入门全攻略

于 2025-04-28 16:28:55 发布
阅读量1k 收藏 12
点赞数 14
分类专栏: 网络安全 文章标签: wireshark 测试工具 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63144319/article/details/147589805
版权

从零开始学 Wireshark:网络分析入门全攻略

文章目录

一、引言:为什么选择 Wireshark?

Wireshark 是一款开源的网络协议分析工具,被誉为「网络安全领域的瑞士军刀」。它能实时捕获、分析网络数据包,帮助用户深入理解网络通信原理,解决网络故障,甚至进行安全攻防。无论你是网络工程师、开发人员还是安全爱好者,掌握 Wireshark 都是提升技能的关键一步。

1.1 Wireshark 的核心价值

协议解码:支持超过 1000 种协议的解析,从底层的 ARP、IP 到应用层的 HTTP、DNS 一应俱全。

实时监控:实时捕获网络流量,提供数据包的详细信息,如源地址、目标地址、协议类型等。

过滤与分析:强大的过滤器功能,可快速定位关键数据包,结合统计功能深入分析网络行为。

跨平台支持:支持 Windows、macOS、Linux 等主流操作系统,甚至可在树莓派等嵌入式设备运行。

1.2 适用场景

网络故障排查:诊断丢包、延迟、协议错误等问题。

安全分析:检测异常流量、恶意攻击(如 DDoS、中间人攻击)。

协议学习:通过实际抓包理解 TCP/IP、HTTP 等协议的工作原理。

性能优化:分析流量分布,识别带宽瓶颈。

二、安装与界面初体验

2.1 下载与安装

Windows 系统

访问 Wireshark 官网,下载最新稳定版(如 4.4.6)。

image-20250428161011453

双击安装包,按照向导完成安装,建议勾选 Npcap(网络捕获驱动)。

image-20250428161106649image-20250428161226843

image-20250428161248828

image-20250428161447540

直接全部下一步即可

首次运行需以管理员身份启动,确保能捕获所有流量。

macOS 系统

下载 .dmg 文件,将 Wireshark 拖入「应用程序」文件夹。

打开「系统偏好设置」→「安全性与隐私」,允许 Wireshark 运行。

Linux 系统(以 Ubuntu 为例)
sudo apt update

sudo apt install wireshark

2.2 界面详解

启动 Wireshark 后,界面分为六大区域:

image-20250428161515654

菜单栏:包含文件操作、捕获设置、分析工具等功能。

工具栏:常用功能的快捷方式,如开始 / 停止捕获、应用过滤器。

接口列表:显示当前可用的网络接口(如 Wi-Fi、以太网)。

数据包列表:实时显示捕获的数据包,每一行代表一个数据包。

数据包详情:展开所选数据包的协议层级细节。

数据包字节:显示原始十六进制数据。

三、基础操作:从捕获到分析

3.1 捕获数据包

选择接口:在接口列表中勾选要监控的接口(如 Wi-Fi),点击 鲨鱼鳍按钮 开始捕获。

停止捕获:点击红色方块按钮或按 Ctrl + E

保存文件:点击 文件保存,将捕获数据存为 .pcapng 格式。

image-20250428161603335

捕获数据的页面(以wifi为例)

image-20250428161707035

3.2 数据包过滤

显示过滤器(Display Filter)

语法协议.字段 运算符 值,例如:

tcp.port == 80:过滤 HTTP 流量。

ip.addr == ``192.168.1.1:过滤特定 IP 地址。

http.request.method == "GET":过滤 HTTP GET 请求。

逻辑组合:使用 andornot,例如:tcp.port == 80 and ip.addr == ``192.168.1.1

捕获过滤器(Capture Filter)

语法:基于 Berkeley Packet Filter(BPF),例如:

tcp port 80:仅捕获 TCP 端口 80 的流量。

host ``192.168.1.1:仅捕获与该主机相关的流量。

设置方法:点击 捕获选项,在「过滤」框中输入规则。

3.3 分析关键协议

TCP 三次握手

过滤条件tcp.flags.syn == 1

数据包解读

SYN:客户端请求连接(Seq=0)。

SYN+ACK:服务器确认(Ack=1)。

ACK:客户端完成连接(Ack=1)。

HTTP 请求与响应

过滤条件http

分析步骤

请求行:如 GET /index.html HTTP/1.1

响应码200 OK 表示成功,404 Not Found 表示资源未找到。

内容类型Content-Type: text/html

四、进阶功能:提升分析效率

4.1 追踪流(Follow Stream)

功能:重组分散的数据包,还原完整的通信会话(如 HTTP、TCP)。

操作:右键点击数据包 → 追踪流 → 选择协议类型(如 HTTP 流)。

应用场景

分析完整的 HTTP 请求 / 响应。

查看 FTP 文件传输内容。

4.2 统计与图表

流量统计:点击 统计协议分级,查看各协议流量占比。

会话分析:点击 统计会话,查看 IP 地址或端口的通信情况。

I/O 图表:点击 统计I/O 图表,可视化流量趋势。

4.3 插件与扩展

SSL 解密

导出服务器证书私钥(.pem 格式)。

点击 编辑首选项协议SSL,添加密钥文件。

插件安装:访问 Wireshark 插件库,下载扩展功能(如 JSON 解码器)。

五、实战案例:解决网络问题

5.1 案例 1:网页加载缓慢

捕获流量:过滤 http 协议。

分析步骤

DNS 解析:检查 DNS 响应时间是否过长。

TCP 重传:过滤 tcp.analysis.retransmission,查看是否有大量重传。

响应内容:追踪 HTTP 流,查看服务器返回的数据量。

5.2 案例 2:HTTPS 流量分析

生成 SSL 密钥

Chrome:设置环境变量 SSLKEYLOGFILE,指向日志文件。

Firefox:在地址栏输入 about:config,设置 security.ssl.enable_ocsp_staplingfalse

Wireshark 配置

点击 编辑首选项协议SSL,导入日志文件。

解密流量:过滤 https,查看加密内容。

六、性能优化与安全注意事项

6.1 性能调优

捕获设置

分段保存:点击 捕获选项输出,设置文件大小限制。

捕获长度:减少捕获长度(如 1500 字节),避免存储冗余数据。

硬件升级:增加内存、使用 SSD 存储捕获文件。

6.2 安全与合规

权限管理:以管理员身份运行 Wireshark,避免捕获敏感数据。

法律风险:禁止在未授权的网络中进行监控,遵守《网络安全法》等法规。

隐私保护:避免捕获个人信息(如密码、邮件内容),定期清理捕获文件。

七、快捷键与效率技巧

操作快捷键说明
开始 / 停止捕获Ctrl + E快速控制捕获状态
应用过滤器Ctrl + /快速输入过滤条件
清除过滤器Ctrl + Shift + /清空过滤栏
追踪 HTTP 流Ctrl + Alt + Shift + H重组 HTTP 会话
保存捕获文件Ctrl + S快速保存当前数据

八、资源推荐

官方文档Wireshark 用户指南

社区论坛Wireshark 官方论坛

实战课程Wireshark 网络分析实战

书籍:《Wireshark 网络分析就这么简单》(林沛满 著)

九、总结

通过本文的学习,你已掌握 Wireshark 的核心功能,包括安装配置、数据包捕获、过滤分析、高级技巧及实战案例。Wireshark 的强大在于其灵活性和深度,建议通过实际操作加深理解。记住,网络分析的关键不仅是工具的使用,更要结合协议原理和实际场景,不断积累经验。

[网络安全自篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析
使用Wireshark进行网络流量分析
qq_68163788的博客
01-02 1万+
通过Wireshark,我们可以捕获和分析网络数据包,查看网络中的数据传输情况,识别网络中的问题和安全隐患,并进行网络性能优化。Wireshark支持多种协议的分析,包括TCP、UDP、IP、ICMP等,可以帮助我们深入了解网络通信过程中的细节。它还提供了强大的过滤功能,可以根据需要筛选出特定的数据包进行分析,帮助我们更快地定位问题所在。除了基本的数据包捕获和分析功能外,Wireshark还提供了统计信息和图形化分析工具,可以帮助我们更直观地了解网络流量的情况。
WireShark网络性能分析
weixin_30892763的博客
09-15 1270
最近生产上出现一个性能问题,表现为:行情延时5s左右。从log一路追查下去,发现是我们自己写的一个行情网关(部署在xx.xx.xx.132)<->第三方的中转网关(部署在xx.xx.xx.133)之间的通信产生的。 Who to blame? 这是个问题,是我们的行情网关、网络、还是第三方的中转网关。所以想到用WireShark抓包进行分析。抓到的包在这里:CaptureData-20...
Wireshark网络抓包分析使用详解
2501_91093988的博客
03-21 2443
是 Hyper-V 虚拟化环境创建的默认交换机接口,IP 地址 172.19.176.1,通常是 Hyper-V 虚拟网络的默认子网,用于捕获 Hyper-V 虚拟机与主机或网络之间的通信流量。”是 WSL 创建的虚拟网络接口,用于连接 WSL 环境与主机网络并监控 WSL 应用产生的流量,IP 地址为 172.17.128.1,这通常是 WSL 的虚拟网络子网范围。使用的环境大致分为两种,一种是电脑直连网络的单机环境,另外一种就是应用比较多的即连接交换机的网络环境。
wireshark 习更进一步 之网络性能分析
yuanbinquan的专栏
07-20 6150
1、图形化数据分析 这里是分析一个实时视频上传服务的抓包数据,过滤条件:tcp.port==10003 and tcp.port==61232,表示设备和服务器之间的数据链路。连接时间17:01:38,断开时间17:02:28。而这中间可以明显看到17:01:48-17:02:01没有数据包的传输,具体原因查看具体时间段内的数据交互。 2、异常数据统计分析 同样是对刚
Wireshark 网络分析
m0_49672766的博客
07-24 161
TCP三次握手4次挥手
Wireshark网络性能调优中的应用
Kali与编程
12-18 1802
通过使用Wireshark,可以分析网络流量数据包,确定网络带宽的实际利用率和性能,并进行网络优化和性能调优。通过分析网络流量、TCP连接、ICMP数据包等可以确定网络延迟、丢包、带宽限制等问题的原因,同时也可以发现网络安全漏洞,并采取相应的措施来提高网络的性能和安全性。另外,在Wireshark的“统计”菜单中,选择“协议分层图表”选项,可以显示各种协议的使用情况和流量占比。另外,在Wireshark的“统计”菜单中,选择“流量图表”选项,可以显示数据包的传输速率和延迟时间的趋势图。
新代系统调试必知必会:新手常见问题全攻略
[新代系统调试必知必会:新手常见问题全攻略](https://unicminds.com/wp-content/uploads/2022/12/Operating-Systems-UnicMinds-1-1024x502.jpg) 参考资源链接:[新代系统调试手册v1.3:详细参数与功能解读]...
MAX3485驱动开发全攻略:从零基础到高效实现(实战经验分享)
[MAX3485驱动开发全攻略:从零基础到高效实现(实战经验分享)](https://static.mianbaoban-assets.eet-china.com/xinyu-images/MBXY-CR-bf1b45bd72bae3f27d1c81cc19998a46.png) # 摘要 本文旨在全面探讨MAX3485...
【2023开发者必备】:MR7.3 StoreLib API新手入门与高级应用全攻略
!... # 摘要 本文全面介绍了StoreLib API的设计理念、功能特点以及使用方法。首先概述了API的基本概念和安装配置步骤,随后深入讲解了核心操作,包括数据类型处理和常用接口的使用。在实践应用部分,文章阐述了数据CRUD...
【ABB PC SDK网络通信全攻略】:数据交换与远程监控要点
网络通信的基础理论出发,详细解读了数据交换机制,包括数据封装、交换流程以及异常处理策略。进一步,文中通过实践应用章节,具体分析网络编程、数据安全策略以及远程监控系统的构建。文章还涉及了实时数据处理...
高性能网络安全:Wireshark和TShark的实用技巧
AI天才研究院
12-31 1710
1.背景介绍 网络安全是现代互联网时代的一个重要问题,尤其是随着互联网的普及和互联网的大规模应用,网络安全问题日益严重。高性能网络安全技术是一种能够有效地保护网络资源和数据安全的技术,它涉及到网络安全的各个方面,包括网络安全的设计、实现、管理和维护等。 在这篇文章中,我们将讨论一种名为Wireshark和TShark的高性能网络安全工具,它们可以帮助我们更有效地分析和监控网络流量,从而提高网络...
Wireshark网络数据分析的多面手 —— 故障、安全与性能优化实战》
最新发布
chendong52329的博客
03-29 714
在当今复杂多变的网络环境中,Wireshark 作为一款功能强大的网络协议分析工具,展现出了无可替代的价值。从数据包的精准捕获到深入解析,从灵活多样的过滤筛选到全面丰富的统计分析,再到在网络故障排查、安全检测和性能优化等实际场景中的成功应用,Wireshark网络专业人员提供了全方位、深层次洞察网络运行状况的能力。通过对 Wireshark 的深入习和实践,网络管理员能够迅速定位并解决网络故障,保障网络的稳定运行;安全专家能够及时发现并应对网络攻击,守护网络的安全防线;
Wireshark --> 抓包(网络分析)工具
热门推荐
@峰的博客
03-25 5万+
前言 为了让大家更容易「看得见」 TCP,我搭建不少测试环境,并且数据包抓很多次,花费了不少时间,才抓到比较容易分析的数据包。 接下来丢包、乱序、超时重传、快速重传、选择性确认、流量控制等等 TCP 的特性,都能「一览无云」。 没错,我把 TCP 的"衣服扒光"了,就为了给大家看的清楚,嘻嘻。 提纲 正文 显形“不可见”的网络网络世界中的数据包交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本习计算机网络的时候就会觉得非常的抽象,加大了习的难度。 还别说,我自己在大的时候,
wireshark网络分析笔记
05-30 1万+
本文是阅读《wireshark网络分析就这么简单》和《wireshark网络分析的艺术》做的一些笔记。技巧篇1、如只要分析ip头或tcp头,可减少每个抓包数据的大小,通过设置limit each packet to的值即可(capture->options->双击抓包网卡)2、设置包的颜色 view —> Coloring Rules3、edit—>preferences 在此窗口单击 protoc
读林沛满的《Wireshark网络分析就这么简单》和《Wireshark网络分析的艺术》
qq125293177的博客
03-09 6091
Wireshark读书笔记
调试利器之wireshark
weixin_33829657的博客
04-12 4258
简介 Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wir...
计算机网络——Wireshark软件使用与协议分析(ARP协议、IP与ICMP分析)
加载中.......
01-19 2万+
Wireshark软件使用与协议分析 ARP协议分析 使用 Wireshark 抓取局域网的数据包并进行分析: 1. Wireshark 基本操作:重点掌握捕获过滤器和显示过滤器。 2. 观察 MAC 地址:了解 MAC 地址的组成,辨识 MAC 地址类型。 3. 分析以太网帧结构:观察以太网帧的首部和尾部,了解数据封装成帧的原理。 4. 分析 ARP 协议:抓取 ARP 请求和应答报文,分析其工作过程。 IP与ICMP分析 启动 Wireshark,捕捉网络命令执行过程中本机接受和发送的数据报。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曼诺尔雷迪亚兹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值