Wireshark是一种流行的网络数据包捕获和分析工具。它以前被命名为以太。Wireshark从不同类型的接口捕获数据包，并将它们作为浮动列表打印到屏幕上。它还提供有关特定数据包的详细信息。Wireshark还可以读取不同格式的已捕获数据包，如 cap , pcap 等。

null

下载并安装

Wireshark有很多平台支持。让我们安装

窗户：

对于Windows操作系统，我们需要从官方网站下载wireshark安装文件。Wireshark的最新版本可以从以下链接下载。

https://www.wireshark.org/#download

Windows提供了一种不同类型的安装程序，如32位、64位、可移植的。如果我们没有安装应用程序所需的特权，我们可以使用不需要安装的便携式Wireshark。

Ubuntu、Debian、Mint：

Ubuntu、Debian、Mint和其他基于deb的发行版从官方存储库中提供Wireshark。只需发出以下命令即可安装Wireshark。

$ sudo apt install wireshark-qt

Fedora、CentOS、RedHat：

Fedora、CentOS和RedHat也在其存储库中提供Wireshark包。为了在Fedora中安装Wireshark，CentOS和RedHat发出以下命令。

$ sudo yum install wireshark-qt

选择接口并捕获数据包

Wireshark的基本操作之一是选择一个接口来捕获网络数据包。当我们打开Wireshark时，我们将看到以下屏幕。可用接口以其名称列出，该接口上的当前网络流量以简单图形显示。

Select Interface and Capture Packets — 选择接口并捕获数据包

在这里我们将看到命名为 Local Area Connection 接口有一些网络流量。另外，Wireshark也可以监听USB接口。

我们双击 Local Area Connection 这将启动此接口上的网络捕获，并将打开一个新的屏幕，其中网络数据包流动。

显示特定数据包详细信息

我们通常会查看一些要分析的特定数据包。我们可以用一种简单的方法从包流列表的右侧找到所需的包，然后单击该包。这将在中间部分显示详细的数据包信息，其中提供了帧、以太网、IP、TCP/UDP和应用层信息。在最下面和第三部分中，我们将看到十六进制格式的应用程序层数据。

Show Specific Packet Details — 显示特定数据包详细信息

过滤捕获的数据包

在繁忙的网络中，会有大量的数据包四处飞来飞去。这将使看一些包一个接一个非常困难的工作。Wireshark具有非常强大的过滤功能。我们可以根据IP、TCP、UDP、IP地址、源地址、目的地址、TCP端口、mac地址、DNS包、SNMP包等协议对捕获的数据包进行过滤。我们将只是看看他们中最受欢迎的。我们可以通过单击按钮获得支持的过滤器表达式的完整列表 Expression 在左上角。我们可以看到过滤器文本框和按钮 Expression .