Wireshark(網絡過濾抓包工具)是一款免費開源的網絡嗅探抓包工具，是世界上最流行的網絡協議分析器，本次帶來的是由作者haochj漢化的wireshark中文版下載，支持Windows XP，需要的朋友千萬不要錯過哦！

網絡封包分析軟件的功能是擷取網絡封包，并盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口，直接與網卡進行數據報文交換，可以實時檢測網絡通訊數據，檢測其抓取的網絡通訊數據快照文件，通過圖形界面瀏覽這些數據，可以查看網絡通訊數據包中每一層的詳細內容。此外它還擁有許多強大的特性：例如包含有強顯示過濾器語言和查看TCP會話重構流的能力，支持上百種協議和媒體類型。

注意:如果你選擇中文的話，請選擇合適的字體，具體在編輯->首選項設置->用戶接口->字體中設置!

ps：雙擊運行“WiresharkPortable.exe”時，會自動出現“WinPcap“的安裝界面，請先安裝WinPcap，關閉就是Wireshark軟件頁面了！

使用目的

Wireshark中文版中文版使用目的

以下是一些使用Wireshark中文版目的的例子：

網絡管理員使用Wireshark中文版來檢測網絡問題，網絡安全工程師使用Wireshark中文版來檢查資訊安全相關問題，開發(fā)者使用Wireshark中文版來為新的通訊協定除錯，普通使用者使用Wireshark中文版來學習網絡協定的相關知識。當然，有的人也會“居心叵測”的用它來尋找一些敏感信息……

Wireshark中文版不是入侵偵測系統（Intrusion Detection System,IDS）。對于網絡上的異常流量行為，Wireshark中文版不會產生警示或是任何提示。然而，仔細分析Wireshark中文版擷取的封包能夠幫助使用者對于網絡行為有更清楚的了解。Wireshark中文版不會對網絡封包產生內容的修改，它只會反映出目前流通的封包資訊。 Wireshark中文版本身也不會送出封包至網絡上。

軟件說明

Wireshark抓包示例

1、下載并且安裝好Wireshark后打開軟件（本文以Wireshark Version 3.4.9 介紹）打開后我們可以看到，Wireshark可以自動識別出電腦上面的網卡（包括虛擬網卡），這里我們雙擊我們需要抓包的網卡。

2、雙擊進入此界面后，Wireshark已經自動開始了抓包過程，如果網卡在與其他網絡設備通訊，我們就能看到如下圖所示的各種網絡協議報文。

3、ping www.ebyte.com

4、由于Wireshark抓取的是網卡物理層的數據，所以所有通過該網卡收發(fā)的數據都會被Wireshark抓取，這就讓我們從海量數據中找到我們需要關注的網絡包就如同大海撈針，但是Wireshark提供了強大的數據包過濾功能，我們就能比較輕松地找到對應的包。比如上面我已經ping了我司官網，現在Wireshark已經抓取了兩萬多條報文，只要通過在過濾器輸入”ip.addr == 101.37.40.78 && icmp“就能找到對應的報文。

TCP報文抓包分析示例

1、開啟Wireshark的抓包功能后，通過電腦連接到本地搭建的回顯服務器，電腦上面的客服端發(fā)送了一段數據到服務器，服務器回傳到電腦上的客戶端。

2、此時我們在Wireshark的過濾欄中輸入“ip.addr == 192.168.3.6”就能過濾出網絡報文中基于IP協議簇，且IP地址（源地址或目標地址）為192.168.3.6的網絡報文。如下圖所示：

Wireshark在封包展示界面中根據網絡協議模型，展示出了各層協議的重要信息如下圖所示：

Frame:表示物理層

Ethernet II :數據鏈路層信息，包括源主機MAC，目標主機MAC與協議類型如IPV4(0x0800)

Internet Protocol Version 4:IP協議幀信息，包括源主機IP地址，目標主機IP地址等

Transmission Control Protocol:TCP協議相關信息，包括源端口與目標端口號，接收窗口大小等

3、TCP握手過程

Wireshark常用過濾器設置

1、Wireshark中的邏輯運算符

1.1比較運算符如：== （等于）、！=（不等于） 、>（大于） 、<（小于） 、>=（大于等于） 、<=（小于等于）

ip.src == 192.168.3.6 過濾源主機IP地址或者目標主機IP地址為192.168.3.6的報文

1.2邏輯運算符如：&&（與）、||（或）、?。ǚ牵?/p>

ip.src == 192.168.3.6 && && tcp.srcport == 8001,則只顯示報文源主機地址為192.168.3.6且源端口為為8001的報文

2、協議過濾

根據網絡協議過濾報文，即在抓包過濾框中輸入協議相關字段即可，包括”TCP”,”UDP””HTTP””ICMP”等。

3、MAC地址過濾

eth.addr == 38:3b:26:88:02:dd 過濾源主機MAC地址或者目標主機MAC地址為38:3b:26:88:02:dd的報文

eth.src== 38:3b:26:88:02:dd 過濾源主機MAC地址為38:3b:26:88:02:dd的報文

4、ip地址過濾

Ip.addr == 192.168.3.6 過濾源主機IP地址或者目標主機IP地址為192.168.3.6的報文

Ip.src== 192.168.3.6 過濾源主機IP地址為192.168.3.6的報文

ip.dst == 192.168.3.240 過濾目標主機IP地址為192.168.3.240的報文

5、端口過濾

tcp.port==80 過濾基于TCP協議且目標端口號或源端口號為80的報文

udp.srcport == 8001 過濾基于UDP協議且端口號為8001的報文

tcp.dstport == 8001 過濾基于TCP協議且目標端口號為8001的報文

6、Http模式過濾

http.request.method=="GET", 過濾基于http協議且http請求方式為”GET”的報文

工作流程

1.確定Wireshark中文版的位置

如果沒有一個正確的位置，啟動Wireshark中文版后會花費很長的時間捕獲一些與自己無關的數據。

2.選擇捕獲接口

一般都是選擇連接到Internet網絡的接口，這樣才可以捕獲到與網絡相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。

3.使用捕獲過濾器

通過在Wireshark中文版設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以為用戶節(jié)約大量的時間。

4.使用顯示過濾器

通常使用捕獲過濾器過濾后的數據，往往還是很復雜。為了使過濾的數據包再更細致，此時使用顯示過濾器進行過濾。

5.使用著色規(guī)則

通常使用顯示過濾器過濾后的數據，都是有用的數據包。如果想更加突出的顯示某個會話，可以使用著色規(guī)則高亮顯示。

6.構建圖表

如果用戶想要更明顯的看出一個網絡中數據的變化情況，使用圖表的形式可以很方便的展現數據分布情況。

7.重組數據

Wireshark中文版的重組功能，可以重組一個會話中不同數據包的信息，或者是一個重組一個完整的圖片或文件。由于傳輸的文件往往較大，所以信息分布在多個數據包中。為了能夠查看到整個圖片或文件，這時候就需要使用重組數據的方法來實現。

軟件特色

Wireshark捕獲工具具有許多強大的功能。

包括豐富的顯示過濾器語言和查看TCP會話重建流的功能。

它還支持數百種協議和媒體類型。

有一個稱為tethereal的命令行版本，類似于tcpdump（Linux上的網絡協議分析工具）。

過去，網絡數據包分析軟件要么非常昂貴，要么專門為使用而設計。

隨著Ethereal的出現，一切都發(fā)生了變化。

在GNU GPL通用許可的保護下，您可以免費獲得該軟件及其代碼，并有權修改和自定義源代碼。 Ethereal是世界上使用最廣泛的網絡數據包分析軟件之一。

功能介紹

1、軟件提供了強顯示過濾器語言。

2、軟件提供了查看tcp會話重構流的功能。

3、軟件支持上百種協議和媒體類型。

4、擁有一個類似tcpdump的名為tethereal的的命令行版本。

5、擁有針對其原始碼修改及客制化的權利。

使用說明

1、確定Wireshark的位置，如果沒有一個正確的位置，啟動Wireshark后會花費很長的時間捕獲一些與自己無關的數據。

2、選擇捕獲接口，一般都是選擇連接到Internet網絡的接口，這樣才可以捕獲到與網絡相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。

3、使用捕獲過濾器，通過設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以為用戶節(jié)約大量的時間。

4、使用顯示過濾器，通常使用捕獲過濾器過濾后的數據，往往還是很復雜。為了使過濾的數據包再更細致，此時使用顯示過濾器進行過濾。

5、使用著色規(guī)則，通常使用顯示過濾器過濾后的數據，都是有用的數據包。如果想更加突出的顯示某個會話，可以使用著色規(guī)則高亮顯示。

6、構建圖表，如果用戶想要更明顯的看出一個網絡中數據的變化情況，使用圖表的形式可以很方便的展現數據分布情況。

7、重組數據.Wireshark的重組功能，可以重組一個會話中不同數據包的信息，或者是一個重組一個完整的圖片或文件。由于傳輸的文件往往較大，所以信息分布在多個數據包中。為了能夠查看到整個圖片或文件，這時候就需要使用重組數據的方法來實現。

更新日志

Wireshark可解析進程信息、數據包元數據、流標識符、丟包信息及其他由內核提供的監(jiān)控數據。tcpdump在macOS上。

以下功能為新增功能，或自版本4.4.0以來進行了重大更新：

Windows安裝程序現在附帶Npcap 1.83版本，此前使用的是Npcap 1.79版本。

Windows和macOS安裝程序現已內置Qt 6.9.3版本（此前為Qt 6.5.3版本）。

我們現在提供通用的macOS安裝包，不再分別提供Arm64和Intel架構的獨立安裝包。問題17294

WinPcap已不再受支持。在Windows系統上，請改用Npcap，必要時卸載WinPcap。 WinPcap的最終版本是2013年發(fā)布的4.1.3版。 它僅支持到Windows 8系統，而該操作系統已不再獲得微軟或Wireshark的官方支持。

新增了一個“繪圖”對話框，與提供直方圖的“I/O圖表”對話框不同，該對話框提供散點圖。繪圖對話框窗口支持多圖繪制、標記功能及自動滾動。

實時捕獲的數據在寫入時即可壓縮（此前僅支持多文件捕獲時的文件輪換期間壓縮）。--compressTShark中的選項同樣適用于實時捕獲。問題9311

絕對時間字段，無論數據包詳情中如何顯示，使用-T json選項時始終以UTC時區(qū)的ISO 8601格式寫入。自4.2.0版本起，-T ek選項就已采用此格式。JSON主要是由軟件讀取的數據交換格式，因此采用標準格式更為理想。

當絕對時間字段通過-T字段輸出、-T pdml的"show"字段或在自定義列（包括列的CSV輸出）中時，類似asctime的格式（例如Dec 18, 2017 05:28:39.071704055 EST）已被棄用，改用ISO 8601格式。為了向后兼容，添加了一個首選項protocols.display_abs_time_ascii，可以設置為繼續(xù)使用之前的格式。該首選項也可以設置為從不使用ASCII時間，并在協議樹（數據包詳情）中使用ISO 8601時間格式。同樣地，未來的版本可能會完全移除ascitime風格的格式設置。

UTC時間列的格式（當選擇UTC時間顯示格式時，包括“時間（按指定格式顯示）”）根據ISO 8601標準帶有“Z”后綴。 本地時間格式則無后綴（即使本地時區(qū)是UTC）。 顯示FT_ABSOLUTE_TIME的自定義列已包含時區(qū)標識。

TShark-G生成詞匯表報告的選項不再需要作為命令行中的首個選項。此外，報告現在會受到其他命令行選項的影響，例如-o, -d，并且--disable-protocol除此之外，-C已經支持的選項。defaultprefs報告不受任何其他選項的影響。） 作為這一變更的一部分，-G不帶參數的用法已被棄用，不再支持。請改用tshark -G fields生成相同的報告。 此外，僅列出具有特定前綴字段的語法已更改為tshark -G fields,prefix.

在數據包匹配時，EUI-64字段的基礎類型已改為字節(jié)類型，這與大多數其他地址格式類似。這意味著EUI-64地址可進行切片操作，并能與其他字節(jié)類型（例如過濾器）進行比較。wpan.src64[:3] == eth.src[:3]雖然字段仍可使用64位無符號整數字面量來指定，但不再支持與其他整數進行算術運算。

Wireshark現已支持通過NTS（網絡時間安全協議）解密NTP數據包。解密需滿足以下條件：捕獲數據中需包含NTS-KE（網絡時間安全密鑰建立協議）數據包，同時需提供TLS客戶端及導出密鑰。此外，系統會對NTP數據包中可進行密碼學驗證的部分（從NTP包頭開始，直至NTS認證域與加密擴展域之前的最后一個擴展域結束）進行有效性校驗。

Wireshark解密MACsec數據包的功能已擴展為可選用MKA解析器解封的SAK，或MACsec解析器中配置的PSK。若需MKA解析器解封SAK，可在其首選項的擴展CKN/CAK信息用戶屬性表中輸入對應CKN的CAK。同時，MACsec解析器通過PSK解密數據包的能力現已支持多PSK列表，用戶可通過新增屬性表錄入這些密鑰。

TCP流圖坐標軸現在采用帶國際單位制前綴的單位。問題20197

自定義列可以選擇以與數據包詳情相同的格式顯示數值。

自定義列的復雜表達式（如包含算術、篩選函數等并返回數值結果的）將按數值而非字典順序進行排序。

顯示篩選功能float而double添加這些功能是為了允許將整數和時間等字段類型顯式轉換為單精度和雙精度浮點數。它們可用于對不同類型的字段執(zhí)行進一步的算術運算，包括在自定義列定義中進行操作。

I/O圖表對話框的最小寬度已減小，因此它應能在低分辨率桌面上更好地顯示，尤其是在某些語言環(huán)境下。為實現此調整，部分復選框控件已移至圖表的右鍵上下文菜單中。問題20147

TLS等場景中使用的X.509證書可通過文件 › 導出對象Wireshark 菜單中（名為“X509AF”）--export-objects在TShark中（使用協議名稱x509af.)

Zstandard內容編碼在HTTP和HTTP/2解析器中受支持。

跟隨流功能支持MPEG-2傳輸流PID，以及封裝在MPEG-2傳輸流中的分組化基本流。后者可用于提取音頻或視頻，以便使用其他工具進行播放。

DNP 3（分布式網絡協議3）現已支持在會話和端點表對話框中使用。

Lua提供的預加載庫bit和rex_pcre2以某種方式加載它們，從而將其添加至package.loaded桌子，仿佛穿過require以便require("bit")和require("rex_pcre2")Lua解析器中的return語句通常多余，但仍按預期執(zhí)行。問題20213

數據包列表（Wireshark）和事件列表（Stratoshark）不再支持多行顯示的行項。問題14424

這個以太幣文件也可包含EUI-64到名稱的映射關系。問題15487

Wireshark的"從十六進制轉儲導入"功能及text2pcap工具現支持2至4字節(jié)的字節(jié)組（可選小端字節(jié)序），并支持帶十六進制偏移量的輸入。0x或0X前綴（由...產生）tcpdump -x等等）。問題16193

幀時間戳可以在Wireshark中通過"打印"和"導出數據包解析"對話框添加到十六進制轉儲的前導部分，在TShark中也可通過相應選項實現。--hexdump time選項問題17132

Lua現在有了Conversation對象，用于向Lua公開對話及對話數據。問題15396

安編輯 › 復制 › 作為HTML菜單項已添加，同時包含相關上下文菜單項和鍵盤快捷鍵功能。該選項提供（通過偏好設置中的旋鈕調節(jié)）復制純文本并保持列對齊的功能，并支持在通過鍵盤快捷鍵復制時選擇使用的復制格式。

tshark自2.6.0版本起支持的"無重復鍵"JSON輸出格式可通過圖形界面中的"導出解析結果"對話框獲取。需要注意的是，若具有相同鍵名的兄弟節(jié)點非連續(xù)排列，此格式不一定能完全保留樹結構中所有子元素的原始順序。

GUI導出解析對話框可輸出幀數據的原始十六進制字節(jié)，無論是否導出字段值均可實現，其格式分別對應于TShark的“-T json -x”和“-T jsonraw”輸出模式。

The Conversations and Endpoints dialogs have an option to display byte counts and bit rates in exact counts instead of human-readable numbers with SI units. The default setting when opening a dialog is controlled by a Statistics preference, "conv.machine_readable". The same preference controls whether precise byte counts are used in the TShark "-z conv" and "-z endpoints" taps.
對話和端點對話框提供選項，可顯示精確的字節(jié)計數與比特率，而非采用國際單位制的人類可讀數值。對話框打開時的默認設置由統計首選項"conv.machine_readable"控制。該首選項同樣控制TShark中"-z conv"與"-z endpoints"輸出是否使用精確字節(jié)計數。

部分TShark統計工具（通過"-z <tap>,tree"選中的、使用stats_tree系統的工具）的輸出格式可通過偏好設置"-o statistics.output_format"進行控制。
若Wireshark采用Qt 6.8或更高版本構建（如官方安裝程序所示），其配色方案可獨立于Windows與macOS當前系統默認設置，單獨設為淺色或深色模式。問題19328

libxml2 現已成為必備依賴項。 請注意，Wireshark 無法與 libxml2 2.15.0 版本兼容構建，但其他版本應可正常使用。

這個查看菜單提供手動重新解析數據包的選項，當地址解析或解密密鑰發(fā)生變化時，此功能非常實用。

5G基于服務的接口上3GPP會話的HTTP2追蹤現為可選功能。啟用后，系統將在確認為會話所屬的HTTP2流中添加"關聯IMSI"字段。

在Windows上構建文檔不再需要Java。

在Linux系統中，使用BPF擴展（如"inbound"、"outbound"和"ifindex"）的捕獲過濾器可用于抓包（并通過編譯過濾器對話框進行編譯）。這些語法不會被語法檢查器始終拒絕，而是會被標記為未知狀態(tài)。

移除的功能和支持

Wireshark 不再支持 AirPcap 和 WinPcap。

Wireshark 不再支持 libnl 1.x 或 2.x 版本。

這個ENABLE_STATICCMake選項已被棄用，轉而采用BUILD_SHARED_LIBS