Wireshark綠色中文版是一款不僅免費(fèi)而且完全開源的網(wǎng)絡(luò)嗅探抓包軟件，該軟件絕對(duì)是目前最受歡迎最為好用的網(wǎng)絡(luò)分析工具，采用的是擷取網(wǎng)絡(luò)封包，它可以為廣大用戶呈現(xiàn)出最為詳細(xì)的網(wǎng)絡(luò)封包資料，從微觀角度來(lái)挖掘數(shù)據(jù)，絕對(duì)是大家不可多得的必備軟件之一。

【軟件特色】

　　1、適用于UNIX和Windows。

　　2、從網(wǎng)絡(luò)接口捕獲實(shí)時(shí)數(shù)據(jù)包數(shù)據(jù)。

　　3、打開包含使用tcpdump / WinDump，Wireshark和許多其他數(shù)據(jù)包捕獲程序捕獲的數(shù)據(jù)包數(shù)據(jù)的文件。

　　4、從包含十六進(jìn)制數(shù)據(jù)包數(shù)據(jù)轉(zhuǎn)儲(chǔ)的文本文件導(dǎo)入數(shù)據(jù)包。

　　5、顯示包含非常詳細(xì)協(xié)議信息的數(shù)據(jù)包。

　　6、保存捕獲的數(shù)據(jù)包數(shù)據(jù)。

　　7、以多種捕獲文件格式導(dǎo)出部分或全部數(shù)據(jù)包。

　　8、根據(jù)許多標(biāo)準(zhǔn)過(guò)濾數(shù)據(jù)包。

　　9、按許多標(biāo)準(zhǔn)搜索數(shù)據(jù)包。

　　10、根據(jù)過(guò)濾器對(duì)數(shù)據(jù)包顯示進(jìn)行著色。

　　11、創(chuàng)建各種統(tǒng)計(jì)數(shù)據(jù)。

【功能介紹】

　　1、深入檢查數(shù)百種協(xié)議，一直在增加

　　2、實(shí)時(shí)捕獲和離線分析

　　3、標(biāo)準(zhǔn)三窗格數(shù)據(jù)包瀏覽器

　　4、多平臺(tái)：在Windows，Linux，macOS，Solaris，F(xiàn)reeBSD，NetBSD和許多其他操作系統(tǒng)上運(yùn)行

　　5、捕獲的網(wǎng)絡(luò)數(shù)據(jù)可以通過(guò)GUI或TTY模式的TShark實(shí)用程序進(jìn)行瀏覽

　　6、業(yè)界最強(qiáng)大的顯示過(guò)濾器

　　7、豐富的VoIP分析

　　8、讀取/寫入許多不同的捕獲文件格式：tcpdump（libpcap），Pcap NG，Catapult DCT2000，Cisco Secure IDS iplog，Microsoft Network Monitor，Network GeneralSniffer（壓縮和未壓縮），Sniffer Pro和NetXray，Network Instruments Observer ，NetScreen監(jiān)聽，Novell LANalyzer，RADCOM WAN / LAN分析器，Shomiti / Finisar Surveyor，Tektronix K12xx，Visual Networks Visual UpTime，WildPackets EtherPeek / TokenPeek / AiroPeek等

　　9、使用gzip壓縮的捕獲文件可以即時(shí)解壓縮

　　10、可以從以太網(wǎng)，IEEE 802.11，PPP / HDLC，ATM，藍(lán)牙，USB，令牌環(huán)，幀中繼，F(xiàn)DDI等讀取實(shí)時(shí)數(shù)據(jù)（取決于您的平臺(tái)）

　　11、對(duì)許多協(xié)議的解密支持，包括IPsec，ISAKMP，Kerberos，SNMPv3，SSL / TLS，WEP和WPA / WPA2

　　12、可以將著色規(guī)則應(yīng)用于數(shù)據(jù)包列表，以進(jìn)行快速，直觀的分析

　　13、輸出可以導(dǎo)出為XML，PostScript，CSV或純文本

【使用教程】

　　1、在本站下載解壓，得到wireshark綠色便攜版安裝包；

　　2、雙擊“WiresharkPortable_3.4.2.paf.exe”開始安裝，選擇中文語(yǔ)言；

　　3、默認(rèn)安裝目錄【C:\Users\Administrator\Desktop\wireshark綠色便攜版\WiresharkPortable】，依提示繼續(xù)安裝；

　　4、安裝完成后，將會(huì)顯示便攜版已安裝完成。

【怎么抓包】

　　1、打開軟件之后，點(diǎn)擊抓取網(wǎng)絡(luò)接口卡選擇按鈕，選擇需要抓取的網(wǎng)卡接口；如果不確定是那個(gè)網(wǎng)絡(luò)接口，則可以看packes項(xiàng)數(shù)據(jù)變化最多接口，選中它然后點(diǎn)擊"start"開始抓包；

　　3、如果需要進(jìn)行特別的配置，則需要先進(jìn)行抓包錢的配置操作，點(diǎn)擊途中的配置操作按鈕，進(jìn)入到抓包配置操作界面，進(jìn)行相應(yīng)配置；配置完成后點(diǎn)擊“start”開始抓包；

　　4、wireshark啟動(dòng)后，wireshark處于抓包狀態(tài)中；

　　5、執(zhí)行需要抓包的操作；

　　6、操作完成后相關(guān)數(shù)據(jù)包就抓取到了。為避免其他無(wú)用的數(shù)據(jù)包影響分析，可以通過(guò)在過(guò)濾欄設(shè)置過(guò)濾條件進(jìn)行數(shù)據(jù)包列表過(guò)濾，獲取結(jié)果如下。說(shuō)明：ip.addr == 119.75.217.26 and icmp 表示只顯示ICPM協(xié)議且源主機(jī)IP或者目的主機(jī)IP為119.75.217.26的數(shù)據(jù)包；

　　7、如果沒(méi)有抓取到想要的數(shù)據(jù)包，則點(diǎn)擊重新抓取按鈕即可；或者抓取到個(gè)人需要的數(shù)據(jù)包之后，可以點(diǎn)擊紅色的停止按鈕即可；

　　8、數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標(biāo)識(shí)定位在菜單欄視圖 --> 著色規(guī)則，如下所示。

【過(guò)濾規(guī)則】

　　表達(dá)式規(guī)則

　　1、協(xié)議過(guò)濾

　　比如TCP，只顯示TCP協(xié)議。

　　2、IP 過(guò)濾

　　比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102，

　　ip.dst==192.168.1.102, 目標(biāo)地址為192.168.1.102

　　3、端口過(guò)濾

　　tcp.port ==80, 端口為80的

　　tcp.srcport == 80, 只顯示TCP協(xié)議的愿端口為80的。

　　4、Http模式過(guò)濾

　　http.request.method=="GET", 只顯示HTTP GET方法的。

　　5、邏輯運(yùn)算符為 AND/ OR

【過(guò)濾關(guān)鍵字】

　　封包列表(Packet List Pane)

　　封包列表的面板中顯示，編號(hào)，時(shí)間戳，源地址，目標(biāo)地址，協(xié)議，長(zhǎng)度，以及封包信息。 你可以看到不同的協(xié)議用了不同的顏色顯示。

　　你也可以修改這些顯示顏色的規(guī)則， View ->Coloring Rules.

　　例子:

　　ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

　　或者

　　ip.addr eq 192.168.1.107 // 都能顯示來(lái)源IP和目標(biāo)IP

　　Linux上運(yùn)行的wireshark圖形窗口截圖示例，其他過(guò)慮規(guī)則操作類似，不再截圖。

　　ip.src eq 10.175.168.182

　　提示： 在Filter編輯框中，收入過(guò)慮規(guī)則時(shí)，如果語(yǔ)法有誤，框會(huì)顯紅色，如正確，會(huì)是綠色。

　　過(guò)濾端口

　　了解了上面的Wireshark過(guò)濾規(guī)則之后，接下來(lái)小編給大家講解的就是過(guò)濾端口，其實(shí)這個(gè)過(guò)濾端口的含義還是比較容易理解的，那么有不懂的用戶可以參考下面小編給大家分享的內(nèi)容，讓你能夠清楚它的整個(gè)使用流程。

　　例子:

　　tcp.port eq 80 // 不管端口是來(lái)源的還是目標(biāo)的都顯示

　　tcp.port == 80

　　tcp.port eq 2722

　　tcp.port eq 80 or udp.port eq 80

　　tcp.dstport == 80 // 只顯tcp協(xié)議的目標(biāo)端口80

　　tcp.srcport == 80 // 只顯tcp協(xié)議的來(lái)源端口80

　　udp.port eq 15000

　　那么過(guò)濾端口范圍：

　　tcp.port >= 1 and tcp.port <= 80

【更新日志】

　　wireshark綠色便攜版 v3.4.2更新說(shuō)明

　　bug修復(fù)

　　wnpa-sec-2020-07 BACapp解剖器可能崩潰

　　其他

　　添加（IETF）QUIC Dissector。

　　重命名配置文件名稱將丟失列表選擇。

　　剖析器錯(cuò)誤警告，剖析具有許多名稱的TLS證書請(qǐng)求。

　　在-> TCP流圖->時(shí)間序列（tcptrace）中，只有ACK，但沒(méi)有數(shù)據(jù)幀可見。

　　復(fù)制>描述不適用于所有樹項(xiàng)目。

　　在Windows中導(dǎo)入配置文件-zip文件失敗，并且目錄崩潰使Wireshark崩潰。

　　添加或刪除顯示過(guò)濾器時(shí)，“數(shù)據(jù)包列表”選擇消失了。

　　檢查更新和自動(dòng)更新，在3.2.1中不起作用。

　　f5ethtrailer：TLS尾部創(chuàng)建不正確的CLIENT鍵盤日志條目。

　　Buildbot崩潰輸出：randpkt-2020-03-04-18423.pcap。

　　文件打開對(duì)話框顯示亂碼。

　　無(wú)可選原因的RTCP Bye報(bào)告為[格式錯(cuò)誤的數(shù)據(jù)包]。

　　[oss-fuzz]＃20732：dissect_rtcp中的未定義移位。

　　SOMEIP：如果正在使用IPv6（BUG），則SOME / IP-SD解剖器無(wú)法注冊(cè)SOME / IP端口。

　　tshark日志：“ ...無(wú)法打開：打開的文件太多。”

　　關(guān)于Wireshark>鍵盤快捷方式>忽略所有顯示的內(nèi)容中的錯(cuò)字。

　　Buildbot崩潰輸出：randpkt-2020-04-02-31746.pcap。