如何在 Windows 上使用 Wireshark：完整、實用且最新的指南

你有沒有想過 當您瀏覽、在線上玩遊戲或管理連線的裝置時，您的網路上到底發生了什麼事？ 如果你只是對 WiFi 上流傳的秘密感到好奇，或者你只是需要一個專業的工具來 分析網路流量並偵測連線問題，肯定是 Wireshark的 已經引起你的注意。

好吧，在本文中你將發現無需繞道 關於Wireshark的所有細節：它是什麼，它在 Windows 中用於什麼，如何安裝它，以及開始捕獲資料之前的最佳提示。讓我們開始吧。

什麼是 Wireshark？打破網路分析巨頭

Wireshark 是全球最受歡迎和最受認可的網路協定分析器。。這個免費、開源且功能強大的工具允許您 捕獲並檢查所有網路流量 透過您的計算機，無論它是 Windows、Linux、macOS 機器，還是 FreeBSD 和 Solaris 等系統。使用 Wireshark，您可以即時或在記錄後看到哪些資料包進入和離開您的電腦、它們的來源、目的地、協議，甚至可以將它們分解以根據 OSI 模型獲取每一層的詳細資訊。

與許多分析儀不同， Wireshark 以其直覺的圖形介面脫穎而出，而且還為那些喜歡命令列或需要執行自動化任務的用戶提供了一個名為 TShark 的強大控制台版本。 Wireshark 的靈活性 它允許您在瀏覽時分析連接、執行專業安全審計、解決網路瓶頸或從頭開始了解互聯網協議的工作原理，所有這些都可以透過您自己的電腦完成！

在 Windows 下載並安裝 Wireshark

在 Windows 上安裝 Wireshark 是一個簡單的過程。，但建議逐步進行，以免留下任何未完成的部分，特別是有關權限和捕獲的附加驅動程式。

• 官方下載： 訪問 Wireshark官方網站 並選擇 Windows 版本（根據您的系統，32 位元或 64 位元）。
• 運行安裝程序： 雙擊下載的檔案並按照精靈進行操作。如果您有任何疑問，請接受預設選項。
• 基本驅動因素： 在安裝過程中，安裝程式會詢問您 安裝 Npcap。該組件至關重要，因為它允許您的網路卡以「混雜」模式捕獲資料包。接受其安裝。
• 終止並重新啟動： 過程完成後，重新啟動電腦以確保所有組件都已準備就緒。

準備好！現在您可以從 Windows 開始功能表開始使用 Wireshark。 請注意，該程式經常更新，因此最好時常檢查新版本。

Wireshark 的工作原理：封包擷取和顯示

當你打開 Wireshark 時， 您首先會看到系統上所有可用網路介面的清單。：有線網路卡、WiFi，如果您使用 VMware 或 VirtualBox 等虛擬機，甚至還有虛擬適配器。每個介面都代表數位資訊的入口或出口點。

要開始捕獲數據， 您只需雙擊所需的介面. 自那以後， Wireshark 將即時顯示所有流通的資料包 透過該卡，按照資料包編號、擷取時間、來源、目的地、協定、大小和其他詳細資訊等欄位對它們進行排序。

當您想要停止拍攝時，請按 紅色停止按鈕。您可以將擷取內容儲存為 .pcap 格式，以便稍後分析、分享，甚至以各種格式（CSV、文字、壓縮等）匯出。這種靈活性使得 Wireshark 是進行現場分析和全面審計的不可或缺的工具。.

入門：在 Windows 中截圖前的提示

為了確保您的第一次 Wireshark 捕獲有用且不會充滿不相關的噪音或混亂的數據，請遵循以下幾個關鍵建議：

• 關閉不必要的程序：開始擷取之前，請退出產生後台流量的應用程式（更新、聊天、電子郵件用戶端、遊戲等）。這樣您就可以避免混合不相關的流量。
• 控制防火牆：防火牆可以阻止或修改流量。如果您想要完整捕獲，請考慮暫時停用它。
• 僅捕捉相關內容如果您想分析特定的應用程序，請在開始捕獲後等待一兩秒鐘以啟動該應用程序，並在停止錄製之前關閉它時執行相同操作。
• 了解你的活動介面：確保選擇正確的網路卡，特別是當您有多個適配器或在虛擬網路上時。

遵循這些準則，您的螢幕截圖將更加清晰，並且更有利於進一步的分析。.

Wireshark 中的濾鏡：如何專注於真正重要的事情

Wireshark 最強大的功能之一是過濾器。有兩種基本類型：

• 捕獲過濾器：它們在開始捕獲之前應用，允許您從一開始就只收集您感興趣的流量。
• 顯示過濾器：這些適用於已捕獲的資料包列表，允許您僅顯示符合條件的資料包。

最常見的過濾器包括：

• 按協議：僅過濾 HTTP、TCP、DNS 等封包。
• 透過 IP 位址：例如，使用以下方式僅顯示來自或發送到特定 IP 的資料包 ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• 按港口：將結果限製到特定連接埠（tcp.port == 80).
• 透過文字字串：尋找內容中包含關鍵字的包。
• 按 MAC 位址、封包長度或 IP 範圍.

此外，過濾器可以與邏輯運算子組合使用（ , or, 不會）進行非常精確的搜索，例如 tcp.port == 80 和 ip.src == 192.168.1.1.

您可以在 Windows 上使用 Wireshark 擷取和分析什麼？

Wireshark 是 能夠解釋 480 多種不同的協議，從 TCP、UDP、IP 等基礎協定到特定於應用程式的協定、IoT、VoIP 等等。這表示您可以檢查所有類型的網路流量，從簡單的 DNS 查詢到加密的 SSH 會話、HTTPS 連線、FTP 傳輸或來自網際網路電話的 SIP 流量。

另外， Wireshark 支援標準擷取格式，例如 tcpdump (libpcap)、pcapng 等，並允許您使用 GZIP 動態壓縮和解壓縮螢幕截圖以節省空間。對於加密流量（TLS/SSL、IPsec、WPA2 等），如果您擁有正確的金鑰，您甚至可以解密資料並查看其原始內容。

詳細流量擷取：其他建議

在開始任何重要的捕獲之前，請遵循此協議以最大限度地提高所收集資訊的實用性。:

• 選擇正確的介面：通常，您的活動適配器將是您正在使用的連接的適配器。如果您有任何疑問，請從 Windows 網路設定中檢查哪一個已連線。
• 設定場景：僅開啟會產生您想要分析的流量的程式或應用程式。
• 隔離現象如果您要分析應用程式流量，請遵循以下順序：開始擷取後啟動應用程序，執行要分析的操作，然後在停止錄製之前關閉應用程式。
• 保存截圖： 停止錄製，前往檔案>儲存並選擇.pcap 或您喜歡的格式。

您將獲得 乾淨且易於分析的文件，沒有任何垃圾流量混入。

範例：使用 Wireshark 進行流量分析

假設您的本地網路上有兩台計算機，其中一台停止上網。 您可以使用 Wireshark 來擷取該機器的流量。 並查看解析 DNS 位址是否存在錯誤、封包是否未到達路由器，或防火牆是否阻止了通訊。

另一個典型案例： 檢測網站是否未正確加密您的登入訊息。如果您登入一個沒有 HTTPS 的網站並結合您的使用者名稱應用 HTTP 過濾器，您甚至可能會看到您的密碼在網路上以明文形式傳輸，這是不安全網站風險的真實證明。

Wireshark 與安全：風險、攻擊與防護措施

Wireshark 的強大之處也在於它最大的風險： 如果落入不法之徒之手，它可能會被用來獲取憑證、進行間諜活動或洩露敏感資訊。。以下是一些威脅和建議：

• 憑證填充（憑證暴力攻擊）：如果您擷取 SSH、Telnet 或其他服務流量，您可能會觀察到自動登入嘗試。注意較長的會話（它們通常是成功的）、資料包大小以及偵測可疑模式的嘗試次數。
• 外部交通風險：過濾所有不是來自內部網路的 SSH 流量：如果您看到來自外部的連接，請提高警覺！
• 明文密碼：如果網站傳輸未加密的使用者名稱和密碼，您會在螢幕截圖中看到它。切勿使用 Wireshark 在國外網路上取得此類資料。請記住，未經許可這樣做是違法的。
• 同意和合法性：僅分析來自自身網路或獲得明確授權的流量。法律對這一點有非常明確的規定，濫用可能會造成嚴重後果。
• 透明度和道德：如果您在公司環境中工作，請告知使用者有關分析及其目的。尊重隱私與技術安全同等重要。

Wireshark 替代品：其他網路分析選項

Wireshark 是無可爭議的參考，但還有其他工具可以補充或在特定情況下取代它的使用：

• 轉儲：適用於 Unix/Linux 環境，可在命令列上執行。它重量輕、速度快、靈活，適合快速捕捉或自動化任務。
• Cloudshark：用於從瀏覽器上傳、分析和共用資料包擷取的 Web 平台。對於協作環境非常有用。
• 智能嗅探：專注於 Windows，易於使用，可擷取現場情況並查看用戶端和伺服器之間的對話。
• ColaSoft Capsa：圖形網路分析儀，以其介面的簡單性和連接埠掃描、匯出和緊湊可視化的特定選項而聞名。

選擇最佳方案取決於您的特定需求。：速度、圖形介面、線上協作或與特定硬體的兼容性。

進階設定：混雜模式、監視器和名稱解析

混雜模式允許網卡捕獲 不僅是為她準備的包裹，而且 透過其所連接的網路流通的所有流量。這對於分析企業網路、共享中心或滲透測試場景至關重要。

在 Windows 上，前往 捕獲 > 選項，選擇介面並勾選混雜模式方塊。請記住，在 Wi-Fi 網路上，除了非常特殊的硬體外，您只會看到來自您自己裝置的流量。

此外， 名稱解析將 IP 位址轉換為可讀的域名 （例如，google-public-dns-a.google.com 中的 8.8.8.8）。您可以從編輯 > 首選項 > 名稱解析啟用或停用此選項。它對於在掃描過程中識別設備有很大幫助，但如果要解析的位址太多，它可能會減慢該過程。