在 Win11 下安装 Wireshark 的详细步骤

目录

• [一、了解 Wireshark](#一、了解 Wireshark)
• • [1. 作用和功能](#1. 作用和功能)
  • [2. 使用步骤](#2. 使用步骤)
• 二、下载安装包
• 三、运行安装包
• [四、使用 Wireshark](#四、使用 Wireshark)
• • [1. 抓包](#1. 抓包)
  • [2. 窗口介绍](#2. 窗口介绍)
  • [3. 过滤器（显示 / 捕获过滤器）](#3. 过滤器（显示 / 捕获过滤器）)
  • [4. 保存过滤后的报文](#4. 保存过滤后的报文)
  • • 1）显示过滤器表达式（了解）
    • 2）过滤表达式的规则
  • [5. 封包列表](#5. 封包列表)
  • [6. 封包详细信息](#6. 封包详细信息)
  • • 1）以太网帧的具体内容
    • [2）IPv4 包的具体内容](#2）IPv4 包的具体内容)
    • [3）TCP 包的具体内容](#3）TCP 包的具体内容)
    • [4）UDP 包的具体内容](#4）UDP 包的具体内容)

---

一、了解 Wireshark

Wireshark 是一个网络抓包工具，简单来说，它可以帮你 "偷听" 电脑和网络上数据传输的内容。它会捕获经过你电脑网络接口的所有网络数据包，然后让你看到这些数据包的详细信息。

1. 作用和功能

• 网络故障排查：帮你找出网络连接问题，比如为什么网速慢，为什么某个服务连接不上。

• 协议分析：可以查看各种网络协议的数据，了解网络通信细节。

• 安全检测：监控网络中有没有异常数据包，帮助发现可能的攻击或入侵。

• 学习研究网络：对网络协议感兴趣的人可以用它学习网络底层知识。

• 应用调试：开发网络应用时，用它查看数据是否正常发送和接收。

2. 使用步骤

• 安装软件：从官网（wireshark.org）下载安装包，按照提示安装。

• 打开软件，选择网络接口：双击图标启动 Wireshark 后，会列出你电脑的所有网络接口（有线、无线等），选择你想监控的那个（比如 Wi-Fi）。

• 开始抓包：点击 "开始 / Start" ，软件就开始抓取经过这个接口的所有网络数据包。

• 查看数据包：抓取到数据后，界面会显示每个数据包的时间、源地址、目的地址、协议类型等信息。点击某个包，可以看到它的详细数据和内容。

• 过滤数据包：网络上流量很多，Wireshark 支持 "过滤" ，让你只看感兴趣的内容，比如只看 HTTP 协议的包，或某个 IP 地址的包，过滤语法是它的一大特色。

• 保存和分析：抓取的数据可以保存下来，稍后分析，或者分享给别人。

二、下载安装包

访问【Wireshark 官网】，下载最新版本的安装包。

官网地址：https://www.wireshark.org/

单击 "Windows x64 Installer" ，等待安装包下载完成。

三、运行安装包

• 双击下载好的 Wireshark-4.4.6-x64 ，并允许此应用对你的设备进行更改。

• 阅读并同意软件协议，点击 "Next" 继续。

• 选择安装路径（建议不要安装在 C 盘）以及需要安装的软件。
  • 必须勾选 "Install NPcap" ，否则将无法捕获实时网络流量。
  • 可以不勾选 "Install USBPcap" ，它用于捕获 USB 数据包，不是必选项。

• 安装 NPcap ，需要勾选后两项，如下图所示。

• 安装完成后，点击 "Finish" ，系统可能会提示重启电脑。

注意事项：

• 安装过程中可能需要关闭其他应用程序，以确保安装顺利进行。

• 安装完成后，建议重启电脑以确保所有驱动和服务正常运行。

四、使用 Wireshark

1. 抓包

Wireshark 可以捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡时，就需要先选择一个网卡进行捕获。如下图所示，然后点击 "捕获" → "开始" 对 WLAN 进行抓包，点击旁边的红色方块即可停止捕获分组。

2. 窗口介绍

Wireshark 主要分为以下几个界面：

• Display Filter（显示过滤器）：用于过滤。

• Packet List Pane（封包列表）：显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同代表不同类型的网络流量或封包状态。

  • 蓝色：常见的 TCP 流量，比如 TCP 握手过程（SYN、ACK）等。
  • 绿色：通常表示 UDP 流量，比如 DNS 查询包。
  • 黑色：通常代表错误或者异常流量，比如 TCP 重传、TCP 重复确认、或数据包损坏。
  • 红色：一般表示高优先级或警告性质的流量，比如 TCP 重传、连接被重置（RST 包）等。
  • 灰色：通常是未知协议或不重要的流量。

• Packet Details Pane（封包详细信息）：显示封包中的字段。

• Dissector Pane（16 进制数据）。

• Miscellanous（地址栏，杂项）。

可以在 Wireshark 中通过菜单的 "视图"（View）→ "着色规则"（Coloring Rules）查看和自定义这些颜色规则。

3. 过滤器（显示 / 捕获过滤器）

学会使用过滤是非常重要的， 初学者在使用 Wireshark 时，将会得到大量的冗余信息，在几千甚至几万条记录中，很难找到自己需要的部分。

过滤器可以帮助我们在大量的数据中迅速找到我们需要的信息。过滤器有以下两种：

• 显示过滤器：位于主界面，用来在捕获的记录中找到所需要的记录。

• 捕获过滤器：用来过滤捕获的封包，以免捕获太多的记录，在 "捕获"（Capture）→ "捕获过滤器"（Capture Filters）中设置。

4. 保存过滤后的报文

在显示过滤器上填写想要过滤的表达式，回车后即可过滤报文。然后点击工具栏的 "文件" → "导出特定分组" ，设置保存路径，填写文件名称，然后就可以保存指定的数据报文了。

1）显示过滤器表达式（了解）

右键 "显示过滤器" ，单击选择 "Display Filter Expression" 即可。

2）过滤表达式的规则

• 协议过滤：tcp 显示 TCP 协议的报文。

• IP 过滤：

  • ip.src==192.168.1.102 显示源地址为 192.168.1.102 的报文
  • ip.dst==192.168.1.102 显示目标地址为 192.168.1.102 的报文

• 端口过滤：

  • tcp.port==80 显示端口号为 80 的报文
  • tcp.srcport==80 显示 TCP 协议且源端口号为 80 的报文

• Http 模式过滤：http.request.method=="GET" 显示 HTTP GET 方法的报文。

• 逻辑运算符 and or ：ip.src==192.168.1.102 or ip.dst==192.168.1.102 显示源地址或目标地址为 192.168.1.102 的报文。

5. 封包列表

封包列表的面板中显示：编号（No.），时间戳（Time），源地址（Source），目标地址（Destination），协议（Protocol），长度（Length），以及封包信息（Info），且不同的协议用了不同的颜色显示。

6. 封包详细信息

这个面板非常重要，用来查看协议中的每一个字段。各行信息分别为：

• Frame ：物理层的数据帧概况。

• Ethernet II ：数据链路层以太网帧头部信息。

• Internet Protocol Version 4 ：网络层 IP 包头部信息。

• Transmission Control Protocol ：传输层 T 的数据段头部信息，此处是 TCP 协议。

• Hypertext Transfer Protocol ：应用层的信息，此处是 HTTP 协议。

1）以太网帧的具体内容

展开 Ethernet II 项可以看到以太网 MAC 帧中的每个字段。

2）IPv4 包的具体内容

展开 Internet Protocol Version 4 项可以看到 IPv4 首部中的每个字段。

3）TCP 包的具体内容

展开 Transmission Control Protocol 项可以看到 TCP 首部中的每个字段。

4）UDP 包的具体内容

展开 User Datagram Protocol 项可以看到 UDP 首部中的每个字段。