Wireshark 网络抓包分析完全指南

在网络故障排查和安全分析工作中，Wireshark 无疑是工程师最强大的工具之一。本文将带您从零开始，掌握 Wireshark 的核心使用方法。

什么是 Wireshark？

Wireshark 是一款开源的网络协议分析器，前身为 Ethereal。它能够捕获并分析网络上的数据包，帮助您深入了解网络流量、诊断故障和检测安全威胁。

安装与环境配置

Windows 安装

1. 访问 Wireshark 官网 下载安装包
2. 运行安装程序，建议安装 WinPcap 或 Npcap
3. 选择合适的组件（默认即可）

快速入门步骤

1. 选择网络接口 - 启动后选择要监控的网络接口
2. 开始捕获 - 点击左上角的鲨鱼鳍图标开始抓包
3. 设置过滤器 - 使用 BPF 语法过滤无关流量
4. 分析数据包 - 双击数据包查看详细解析

核心过滤技巧

按协议过滤

tcp                    # 只显示 TCP 协议
udp                    # 只显示 UDP 协议
http                   # 只显示 HTTP 流量
dns                    # 显示 DNS 查询

按地址过滤

ip.addr == 192.168.1.1           # 显示与该 IP 相关的所有包
ip.src == 192.168.1.100           # 显示源地址
ip.dst == 10.0.0.1               # 显示目标地址

组合条件

tcp.port == 80 or http          # TCP 80 端口或 HTTP 流量
ip.addr == 192.168.1.1 and tcp  # 特定 IP 的 TCP 流量

实战案例：HTTP 流量分析

捕获 HTTP 请求

1. 设置过滤器：http.request
2. 查看请求方法、URL 和 Headers
3. 分析请求和响应的完整交互

查看 HTTP 状态码

http.response.code == 200        # 成功响应
http.response.code == 404        # 页面未找到
http.response.code == 500        # 服务器内部错误

常见应用场景

场景一：网页加载慢的排查

1. 过滤 DNS 查询，查看域名解析时间
2. 分析 TCP 三次握手延迟
3. 检查 HTTP 请求的 TTFB（首字节时间）

场景二：登录凭据分析

1. 过滤 HTTP POST 请求
2. 查看 request.body 中的用户名密码
3. 确认是否使用 HTTPS 加密传输

场景三：网络安全检测

1. 检测异常端口扫描行为
2. 发现未加密的敏感数据传输
3. 识别恶意软件的通信特征

进阶技巧

追踪 TCP 流

右键点击数据包 → Follow → TCP Stream，可查看完整的 TCP 会话内容。

专家信息分析

使用菜单 Analyze → Expert Information，可快速发现网络问题。

统计数据导出

通过 Statistics 菜单可以导出各种统计数据，包括：

• 协议分层占比
• 对话统计
• 端点列表

总结

Wireshark 是网络工程师必备的技能之一。掌握基础过滤、数据包分析和常见故障场景的排查方法，将大幅提升您的工作效率。建议在日常工作中多加练习，逐步积累经验。