如何在 Windows 上使用 Wireshark：完整、实用且最新的指南

你有没有想过 当您浏览、在线玩游戏或管理连接的设备时，您的网络上到底发生了什么？ 如果你只是对 WiFi 上流传的秘密感到好奇，或者你只是需要一个专业的工具来 分析网络流量并检测连接问题，肯定是 Wireshark的 已经引起你的注意。

好吧，在本文中你将发现无需绕道 关于Wireshark的所有细节：它是什么，它在 Windows 中用于什么，如何安装它，以及开始捕获数据之前的最佳提示。让我们开始吧。

什么是 Wireshark？打破网络分析巨头

Wireshark 是全球最流行和最受认可的网络协议分析器。。这个免费、开源且功能强大的工具允许您 捕获并检查所有网络流量 通过您的计算机，无论它是 Windows、Linux、macOS 机器，还是 FreeBSD 和 Solaris 等系统。使用 Wireshark，您可以实时或在记录后看到哪些数据包进入和离开您的计算机、它们的来源、目的地、协议，甚至可以将它们分解以根据 OSI 模型获取每一层的详细信息。

与许多分析仪不同， Wireshark 以其直观的图形界面脱颖而出，而且还为那些喜欢命令行或需要执行自动化任务的用户提供了一个名为 TShark 的强大控制台版本。 Wireshark 的灵活性 它允许您在浏览时分析连接、执行专业安全审计、解决网络瓶颈或从头开始了解互联网协议的工作原理，所有这些都可以通过您自己的电脑完成！

在 Windows 上下载并安装 Wireshark

在 Windows 上安装 Wireshark 是一个简单的过程。，但建议逐步进行，以免留下任何未完成的部分，特别是有关权限和捕获的附加驱动程序。

• 官方下载： 访问 Wireshark官方网站 并选择 Windows 版本（根据您的系统，32 位或 64 位）。
• 运行安装程序： 双击下载的文件并按照向导进行操作。如果您有任何疑问，请接受默认选项。
• 基本驱动因素： 在安装过程中，安装程序会询问您 安装 Npcap。该组件至关重要，因为它允许您的网卡以“混杂”模式捕获数据包。接受其安装。
• 终止并重新启动： 该过程完成后，重新启动计算机以确保所有组件都已准备就绪。

准备好！您现在可以从 Windows 开始菜单开始使用 Wireshark。 请注意，该程序经常更新，因此最好时常检查新版本。

Wireshark 的工作原理：数据包捕获和显示

当你打开 Wireshark 时， 您首先会看到系统上所有可用网络接口的列表。：有线网卡、WiFi，如果您使用 VMware 或 VirtualBox 等虚拟机，甚至还有虚拟适配器。每个接口都代表数字信息的入口或出口点。

要开始捕获数据， 您只需双击所需的界面. 自那以后， Wireshark 将实时显示所有流通的数据包 通过该卡，按照数据包编号、捕获时间、来源、目的地、协议、大小和其他详细信息等列对它们进行排序。

当您想要停止拍摄时，请按 红色停止按钮。您可以将捕获内容保存为 .pcap 格式，以便稍后分析、共享，甚至以各种格式（CSV、文本、压缩等）导出。这种灵活性使得 Wireshark 是进行现场分析和全面审计的不可或缺的工具。.

入门：在 Windows 中截屏前的提示

为了确保您的第一次 Wireshark 捕获有用并且不会充满不相关的噪音或混乱的数据，请遵循以下几个关键建议：

• 关闭不必要的程序：开始捕获之前，请退出产生后台流量的应用程序（更新、聊天、电子邮件客户端、游戏等）。这样您就可以避免混合不相关的流量。
• 控制防火墙：防火墙可以阻止或修改流量。如果您想要完整捕获，请考虑暂时禁用它。
• 仅捕获相关内容如果您想分析特定的应用程序，请在开始捕获后等待一两秒钟以启动该应用程序，并在停止录制之前关闭它时执行相同操作。
• 了解你的活动界面：确保选择正确的网卡，特别是当您有多个适配器或在虚拟网络上时。

遵循这些准则，您的屏幕截图将更加清晰，并且更有利于进一步的分析。.

Wireshark 中的过滤器：如何专注于真正重要的事情

Wireshark 最强大的功能之一是过滤器。有两种基本类型：

• 捕获过滤器：它们在开始捕获之前应用，允许您从一开始就只收集您感兴趣的流量。
• 显示过滤器：这些适用于已捕获的数据包列表，允许您仅显示符合条件的数据包。

最常见的过滤器包括：

• 按协议：仅过滤 HTTP、TCP、DNS 等数据包。
• 通过 IP 地址：例如，使用以下方式仅显示来自或发往特定 IP 的数据包 ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• 按港口：将结果限制到特定端口（tcp.端口 == 80).
• 通过文本字符串：查找内容中包含关键字的包。
• 按 MAC 地址、数据包长度或 IP 范围.

此外，过滤器可以与逻辑运算符组合使用（和, or, 不会）进行非常精确的搜索，例如 tcp.port == 80 和 ip.src == 192.168.1.1.

您可以在 Windows 上使用 Wireshark 捕获和分析什么？

Wireshark 是 能够解释 480 多种不同的协议，从 TCP、UDP、IP 等基础协议到特定于应用程序的协议、IoT、VoIP 等等。这意味着您可以检查所有类型的网络流量，从简单的 DNS 查询到加密的 SSH 会话、HTTPS 连接、FTP 传输或来自互联网电话的 SIP 流量。

另外， Wireshark 支持标准捕获格式，例如 tcpdump (libpcap)、pcapng 等，并允许您使用 GZIP 动态压缩和解压缩屏幕截图以节省空间。对于加密流量（TLS/SSL、IPsec、WPA2 等），如果您拥有正确的密钥，您甚至可以解密数据并查看其原始内容。

详细流量捕获：其他建议

在开始任何重要的捕获之前，请遵循此协议以最大限度地提高所收集信息的实用性。:

• 选择正确的接口：通常，您的活动适配器将是您正在使用的连接的适配器。如果您有任何疑问，请从 Windows 网络设置中检查哪一个已连接。
• 设置场景：仅打开会产生您想要分析的流量的程序或应用程序。
• 隔离现象如果您要分析应用程序流量，请遵循以下顺序：开始捕获后启动应用程序，执行要分析的操作，然后在停止录制之前关闭应用程序。
• 保存截图： 停止录制，转到文件>保存并选择.pcap 或您喜欢的格式。

您将获得 干净且易于分析的文件，没有任何垃圾流量混入。

示例：使用 Wireshark 进行流量分析

假设您的本地网络上有两台计算机，其中一台停止访问互联网。 您可以使用 Wireshark 捕获该机器的流量。 并查看解析 DNS 地址是否存在错误、数据包是否未到达路由器，或者防火墙是否阻止了通信。

另一个典型案例： 检测网站是否未正确加密您的登录信息。如果您登录一个没有 HTTPS 的网站并结合您的用户名应用 HTTP 过滤器，您甚至可能会看到您的密码在网络上以明文形式传输，这是不安全网站风险的真实证明。

Wireshark 与安全：风险、攻击和防护措施

Wireshark 的强大之处也在于它最大的风险： 如果落入不法之徒之手，它可能会被用来获取凭证、进行间谍活动或泄露敏感信息。。以下是一些威胁和建议：

• 凭证填充（凭证暴力攻击）：如果您捕获 SSH、Telnet 或其他服务流量，您可能会观察到自动登录尝试。注意较长的会话（它们通常是成功的）、数据包大小以及检测可疑模式的尝试次数。
• 外部交通风险：过滤所有不是来自内部网络的 SSH 流量：如果您看到来自外部的连接，请提高警惕！
• 明文密码：如果网站传输未加密的用户名和密码，您会在屏幕截图中看到它。切勿使用 Wireshark 在国外网络上获取此类数据。请记住，未经许可这样做是违法的。
• 同意和合法性：仅分析来自自身网络或获得明确授权的流量。法律对这一点有非常明确的规定，滥用可能会造成严重后果。
• 透明度和道德：如果您在公司环境中工作，请告知用户有关分析及其目的。尊重隐私与技术安全同等重要。

Wireshark 替代品：其他网络分析选项

Wireshark 是无可争议的参考，但还有其他工具可以补充或在特定情况下替代它的使用：

• 转储：适用于 Unix/Linux 环境，可在命令行上运行。它重量轻、速度快、灵活，适合快速捕获或自动化任务。
• Cloudshark：用于从浏览器上传、分析和共享数据包捕获的 Web 平台。对于协作环境非常有用。
• SmartSniff：专注于 Windows，易于使用，可捕获现场情况并查看客户端和服务器之间的对话。
• ColaSoft Capsa：图形网络分析仪，以其界面的简单性和端口扫描、导出和紧凑可视化的特定选项而著称。

选择最佳方案取决于您的具体需求。：速度、图形界面、在线协作或与特定硬件的兼容性。

高级设置：混杂模式、监视器和名称解析

混杂模式允许网卡捕获 不仅是给她准备的包裹，而且 通过其所连接的网络流通的所有流量。这对于分析企业网络、共享中心或渗透测试场景至关重要。

在 Windows 上，请转至 捕获 > 选项，选择接口并勾选混杂模式框。请记住，在 Wi-Fi 网络上，除了非常特殊的硬件外，您只会看到来自您自己设备的流量。

此外， 名称解析将 IP 地址转换为可读的域名 （例如，google-public-dns-a.google.com 中的 8.8.8.8）。您可以从编辑 > 首选项 > 名称解析启用或禁用此选项。它对于在扫描过程中识别设备有很大帮助，但如果要解析的地址太多，它可能会减慢该过程。