Wireshark 安装与入门完整教程

Wireshark 是全球最流行的网络协议分析工具，它能够捕获你电脑与网络之间传输的数据包，并以易于理解的方式展示出来，无论是网络管理员排查故障、安全分析师分析攻击，还是程序员调试网络应用，Wireshark 都是一个不可或缺的利器。

第一部分：安装 Wireshark

重要提示：安装前的准备（Windows 用户）

在安装 Wireshark 之前，你需要确保电脑上已经安装了 Npcap。

• 什么是 Npcap？ Npcap 是 WinPcap 的继任者，是 Windows 平台下用于捕获网络数据包的库和驱动程序，Wireshark 依赖它来访问网络数据，从 Wireshark 3.4 版本开始，安装程序会自动为你安装 Npcap。

• 为什么需要提前知道？ 为了确保安装顺利，强烈建议你从官方网站下载并安装最新版的 Npcap,这可以避免因系统环境问题导致的安装失败。

• 下载地址： https://npcap.com/#download 下载并运行安装程序,通常选择默认安装即可。

  
  （图片来源网络，侵删）

Windows 系统安装教程

1. 下载安装包

   • 访问 Wireshark 官方下载页面：https://www.wireshark.org/download.html
   • 在 "Stable Release (Recommended)" 部分，点击 "Windows Installer (64-bit)" 下载最新的稳定版安装包。

2. 运行安装程序

   • 找到你下载的 .exe 文件（Wireshark-x.x.x-x-64.exe）,双击运行。
   • 在弹出的安全警告窗口中，点击“是”。

3. 开始安装

   • 进入欢迎界面，点击 "Next"。
   • 阅读并同意许可协议：勾选 "I agree to the terms and conditions"，然后点击 "Next"。

4. 选择安装组件（关键步骤）

   • 这是安装过程中最重要的一步,默认选项已经足够满足大多数用户的需求。
   • Wireshark: 主程序,必须安装。
   • Npcap: 用于捕获数据包的驱动程序。如果你已经提前安装过，可以取消勾选，否则请务必勾选。
   • Command-line Tools: 命令行工具，如果你需要在脚本中使用 Wireshark 功能,请勾选。
   • Wireshark Documentation: 帮助文档，可以不安装,因为文档在线也很全。
   • Maintain a list of the last files opened: 记住上次打开的文件,推荐勾选。
   • 点击 "Next"。

5. 选择安装位置

   • 默认安装在 C:\Program Files\Wireshark，如果你想更改位置，点击 "Browse"，然后点击 "Next"。

6. 选择“开始菜单”文件夹

   默认即可，点击 "Next"。

7. 选择附加任务

   • Install WinPcap in compatibility mode: 不要勾选此项，因为 Npcap 已经是更新的技术。
   • Add Wireshark to the Windows Firewall exception list (recommended): 强烈建议勾选此项，这可以防止 Windows 防火墙阻止 Wireshark 捕获数据包。
   • 点击 "Next"。

8. 准备安装

   确认所有设置无误后，点击 "Install" 开始安装,这个过程可能需要一两分钟。

9. 完成安装

   • 安装完成后，会显示一个 "Install Npcap" 的窗口，确保勾选 "Install Npcap in WinPcap API-compatible mode"，然后点击 "Install"。
   • Npcap 安装完成后，回到 Wireshark 的安装窗口，点击 "Finish"。

至此，Wireshark 在 Windows 上的安装已经全部完成。

macOS 系统安装教程

macOS 的安装非常简单，推荐使用 Homebrew 包管理器。

1. 安装 Homebrew 如果你还没有安装 Homebrew，请先打开终端（Terminal）,然后运行以下命令：

   /bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

   根据提示完成安装。

2. 安装 Wireshark 安装好 Homebrew 后,在终端中输入以下命令：

   brew install wireshark

3. 配置权限（非常重要！） 出于安全考虑，macOS 要求只有管理员用户才能捕获数据包，你需要将你的用户添加到一个特殊的 wireshark 组中。

   • 在终端中运行以下命令，将你的用户名（替换掉 your_username）添加到组中：

     sudo dscl . append /Groups/wireshark GroupMembership your_username

   • 系统会提示你输入你的 macOS 密码。
   • 重启你的 Mac,使权限更改生效。

4. 启动 Wireshark 你可以在“启动台”或“应用程序”文件夹中找到 Wireshark 并打开它，首次启动时，系统可能会弹出安全警告，提示“无法打开开发者未验证的应用”，请点击“仍要打开”。

Linux (以 Ubuntu/Debian 为例) 安装教程

在 Linux 上,通常使用系统的包管理器进行安装。

1. 更新软件包列表 打开终端,运行以下命令：

   sudo apt update

2. 安装 Wireshark 运行以下命令进行安装：

   sudo apt install wireshark

3. 配置权限（非常重要！） 和 macOS 类似，普通用户默认没有捕获数据包的权限，安装程序通常会自动询问是否将当前用户添加到 wireshark 组。

   • 在安装过程中，会弹出一个配置窗口，选择 <Yes>。
   • 如果错过了这个提示，或者手动安装，可以手动执行：

     sudo usermod -a -G wireshark $USER

   • 注销并重新登录，或者重启电脑,使组权限生效。

第二部分：首次使用与基本操作

安装完成后，让我们来启动 Wireshark 并看看它的界面。

启动 Wireshark

双击桌面图标或在应用程序列表中打开 Wireshark。

熟悉主界面

Wireshark 的主界面主要分为四个部分：

• 工具栏: 提供最常用的操作，如新建捕获、打开文件等。
• 接口列表: 显示你电脑上所有可用于捕获的网络接口（网卡）,这是开始捕获的关键。
• 数据包列表: 捕获到的数据包的列表，每一行代表一个数据包，显示序号、时间、源地址、目标地址、协议和协议信息。
• 数据包详情: 显示选中数据包的详细信息，数据包被解析为多层结构（如 Frame, Ethernet II, Internet Protocol Version 4, Transmission Control Protocol 等）,每一层都可以展开查看具体内容。
• 数据包字节: 以十六进制和 ASCII 码的形式显示选中数据包的原始数据。

开始捕获你的第一个数据包

1. 选择接口：在接口列表中,找到一个你想要监控的接口。

   • Ethernet: 有线网络。
   • Wi-Fi: 无线网络。
   • Loopback: 回环接口，用于捕获本机程序之间的通信（如 localhost）。
   • 对于新手，建议选择 Loopback 接口，这样只会看到本机程序的网络通信，数据量少,易于理解。

2. 开始捕获：在你选择的接口上，点击蓝色的 鲨鱼鳍图标 (开始捕获)。

3. 观察数据：Wireshark 开始捕获数据包，你会在“数据包列表”中看到数据包飞速滚动，如果你选择的是 Loopback 接口，尝试在浏览器中访问 http://127.0.0.1，你会看到相关的 HTTP 数据包出现。

4. 停止捕获：捕获了足够的数据后，点击红色的 方块图标 (停止捕获)。

基本过滤技巧

捕获所有数据包很快就会让你眼花缭乱，过滤是使用 Wireshark 的核心技能。

• 在工具栏下方的 "Display Filter" (显示过滤器) 输入框中输入表达式。

常用过滤器示例：

• 按协议过滤：

  • http: 只显示 HTTP 协议的数据包。
  • tcp: 只显示 TCP 协议的数据包。
  • dns: 只显示 DNS 协议的数据包。
  • icmp: 只显示 ICMP 协议的数据包（如 ping 命令）。

• 按 IP 地址过滤：

  • ip.addr == 192.168.1.10: 只显示与 IP 地址 168.1.10 相关的数据包（包括源和目标）。
  • ip.src == 192.168.1.10: 只显示源 IP 为 168.1.10 的数据包。
  • ip.dst == 8.8.8.8: 只显示目标 IP 为 8.8.8 (Google DNS) 的数据包。

• 按端口号过滤：

  • tcp.port == 80: 只显示 TCP 端口为 80 (HTTP) 的数据包。
  • tcp.port == 443: 只显示 TCP 端口为 443 (HTTPS) 的数据包。

• 组合过滤：

  • http and ip.addr == 192.168.1.10: 显示来自/去往 168.1.10 的 HTTP 流量。
  • tcp.port == 80 or tcp.port == 443: 显示所有 HTTP 或 HTTPS 流量。

第三部分：注意事项与最佳实践

1. 法律与道德：

   • 严禁在未经授权的情况下捕获他人的网络流量！ 这可能违反当地法律和公司规定。
   • Wireshark 应仅用于分析你自己的网络、排查自己设备的问题或进行合法的安全研究。

2. 性能影响：

   • 在高流量网络上进行捕获可能会消耗大量 CPU 和内存,甚至可能导致电脑卡顿。
   • 尽量使用显示过滤器来减少显示的数据量,而不是捕获所有数据。

3. 数据包保存：

   • 你可以将捕获到的数据包保存为文件（.pcap 或 .pcapng 格式）,以便后续分析。
   • 点击菜单栏的 文件 -> 保存,即可保存。

4. 从入门到精通：

   • 多看：多尝试访问不同的网站，观察不同协议（HTTP, DNS, TCP, UDP）的数据包是什么样的。
   • 多试：多使用不同的过滤器,熟悉过滤语法。
   • 多查：遇到看不懂的字段或协议，选中它，在“数据包详情”中右键，选择 "Help" 或 "Manual Page"，Wireshark 会为你打开官方文档进行解释。

恭喜你！现在你已经成功安装并掌握了 Wireshark 的基本用法，这是一个功能极其强大的工具，随着你不断地探索和学习,你会发现它在网络世界中的无穷魅力。