Wireshark 简单运用指南

Wireshark 是一款强大的网络协议分析工具，以下是其基本使用方法：

1. 安装 Wireshark

• 从官网 https://www.wireshark.org/ 下载对应版本
• 安装时勾选安装 WinPcap/Npcap（Windows 平台需要）

2. 基本使用步骤

2.1 开始捕获数据包

1. 启动 Wireshark
2. 在接口列表中选择要监控的网络接口（通常是有流量的以太网或WiFi接口）
3. 点击左上角的蓝色鲨鱼鳍图标开始捕获

2.2 停止捕获

• 点击红色方形按钮停止捕获

2.3 查看捕获的数据

• 主窗口分为三部分：
  • 数据包列表（顶部）
  • 数据包详情（中部）
  • 原始数据（底部）

3. 常用过滤技巧

3.1 显示过滤器（在过滤栏输入）

• ip.addr == 192.168.1.1 - 显示特定IP地址的流量
• tcp.port == 80 - 显示HTTP流量
• udp - 只显示UDP流量
• http - 只显示HTTP流量
• dns - 只显示DNS查询
• icmp - 只显示ping请求/响应

3.2 捕获过滤器（开始捕获前设置）

• host 192.168.1.1 - 只捕获特定主机的流量
• port 80 - 只捕获80端口的流量
• not port 22 - 排除SSH流量

4. 实用功能

4.1 跟踪TCP流

• 右键TCP数据包 → "Follow" → "TCP Stream"
• 可查看完整的HTTP请求/响应等

4.2 统计功能

• "Statistics" 菜单提供多种统计视图：
  • "Conversations" - 查看主机间的通信统计
  • "Protocol Hierarchy" - 协议类型分布
  • "IO Graphs" - 流量随时间变化图

4.3 导出数据

• 可以导出特定数据包为文本、CSV或PCAP格式

5. 简单排错案例

5.1 检查网络延迟

1. 过滤 icmp 查看ping包
2. 查看请求和响应的时间差

5.2 分析HTTP请求慢

1. 过滤 http
2. 跟踪TCP流查看完整请求/响应
3. 检查TCP握手时间（SYN, SYN-ACK, ACK）

5.3 检查DNS解析

1. 过滤 dns
2. 查看DNS查询和响应时间

6. 注意事项

• 捕获大量数据会消耗系统资源
• 在生产环境使用时注意隐私和法律问题
• 复杂的网络问题可能需要结合其他工具分析

通过以上基本操作，您可以开始使用 Wireshark 进行简单的网络分析和故障排查。