如果你要問哪款網絡抓包產品最專業，最好用？那么小編一定強烈推薦你試試這款號稱目前全世界最出色網絡封包分析之一的軟件——wireshark官方版，其作為網絡分析行業領域中的常樹青，不僅擁有著領先的捕獲并解碼網絡上的數據技術、以及超強顯示過濾器語言、查看TCP會話重構流的能力等功能，通過使用WinPCAP作為接口可直接與網卡進行數據報文交換，從而讓用戶實現一鍵輕松擷取網絡封包的操作。并且此版本還主要是兼容于32位的PC系統，不但安裝簡單，功能免費，擁有著流暢的操作，使大家安裝后可通過它來實時檢測網絡通訊數據，檢測其抓取的網絡通訊數據快照文件。同時還可通過圖形界面瀏覽這些數據，并查看網絡通訊數據包中每一層的詳細內容。通俗點來說就是將其像成 "電工技師使用電表來量測電流、電壓、電阻" 的工作一樣。只是將場景移植到網絡上，并將電線替換成網絡線，讓大家可免費擁有或取得軟件與其源代碼，并針對其源代碼修改及客制化的權利。相對而言會比較適用于網絡管理和安全工程等行業領域的朋友，為大家提供有關故障排除，保護，分析和維護的高效網絡基礎架構、以及最佳實踐的教育工具。感興趣的朋友趕緊來下載試試吧！

軟件特色

1、支持的操作系統
軟件對主流的操作系統都提供了支持,其中包括Windows、MacOSX以及基于Linux的系統。
2、使用捕獲過濾器
通過設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以為用戶節約大量的時間。
3、選擇捕獲接口
一般都是選擇連接到Internet網絡的接口，這樣才可以捕獲到與網絡相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。
4、重組數據
Wireshark的重組功能，可以重組一個會話中不同數據包的信息，或者是一個重組一個完整的圖片或文件。由于傳輸的文件往往較大，所以信息分布在多個數據包中。為了能夠查看到整個圖片或文件，這時候就需要使用重組數據的方法來實現。
5、免費
由于軟件是開源的,它在價格上面是無以匹敵的，軟件是遵循GPL協議發布的自由軟件,任何人無論出于私人還是商業目的,都可以下載并且使用。
6、用戶友好度
軟件的界面是數據包嗅探工具中最容易理解的工具之一?；贕UI,并提供了清晰的菜單欄和簡明的布局

軟件功能

1、對數百個協議進行深度檢查，并一直在添加更多協議
2、實時捕捉和離線分析
3、標準三窗格數據包瀏覽器
4、多平臺：在 Windows、Linux、macOS、Solaris、FreeBSD、NetBSD 和許多其他平臺上運行
5、可以通過 GUI 或通過 TTY 模式 TShark 實用程序瀏覽捕獲的網絡數據
6、業內最強大的顯示過濾器
7、豐富的VoIP分析
8、讀取/寫入許多不同的捕獲文件格式：tcpdump (libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer®（壓縮和未壓縮）、Sniffer® Pro 和 NetXray®、Network Instruments Observer , NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek 等
9、使用 gzip 壓縮的捕獲文件可以即時解壓縮
10、可以從以太網、IEEE 802.11、PPP/HDLC、ATM、藍牙、USB、令牌環、幀中繼、FDDI 等（取決于您的平臺）讀取實時數據
11、對許多協議的解密支持，包括 IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2
12、可將著色規則應用于數據包列表，以進行快速、直觀的分析
13、輸出可以導出為 XML、PostScript®、CSV 或純文本

wireshark使用教程入門

1、功能
wireshark能獲取HTTP，也能獲取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的內容，總結，如果是處理HTTP,HTTPS 還是用Fiddler, 其他協議比如TCP,UDP 就用wireshark.
2、選擇網卡
wireshark是捕獲機器上的某一塊網卡的網絡包，當你的機器上有多塊網卡的時候，你需要選擇一個網卡。

3、窗口介紹：
WireShark 主要分為這幾個界面
3.1 Display Filter(顯示過濾器)， 用于過濾
3.2 Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標地址，端口號。 顏色不同，代表不同的類型
3.3 Packet Details Pane(封包詳細信息), 顯示封包中的字段
3.4 Dissector Pane(16進制數據)
3.5 Miscellanous(地址欄，雜項)

如何捕獲數據包

4、過濾器
使用過濾是非常重要的， 初學者使用wireshark時，將會得到大量的冗余信息，在幾千甚至幾萬條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉向。過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。
4.1 過濾器有兩種，一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄，一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。在Capture -> Capture Filters 中設置，保存過濾。
4.2 新建過濾器，在Filter欄上，填好Filter的表達式后，點擊Save按鈕， 取個名字。比如"Filter 10",
4.3 過濾表達式的規則
4.3.1 協議過濾
比如TCP，只顯示TCP協議。
4.3.2 IP 過濾
比如 ip.src =192.168.1.102 顯示源地址為192.168.1.102，
ip.dst=192.168.1.102, 目標地址為192.168.1.102
4.3.3 端口過濾
tcp.port =80, 端口為80的
tcp.srcport = 80, 只顯示TCP協議的愿端口為80的。
4.3.4 Http模式過濾
http.request.method==“GET”, 只顯示HTTP GET方法的。
4.3.5 邏輯運算符為 AND/ OR

5、捕獲結果分析
5.1 著色規則
在菜單“視圖-著色規則”下查看

5.2 數據包結構
第一行：數據包整體概述，
第二行：鏈路層詳細信息，主要的是雙方的mac地址。
第三行：網絡層詳細信息，主要的是雙方的IP地址。
第四行：傳輸層的詳細信息，主要的是雙方的端口號。

5.3 tcp數據包
標志位對應的功能：
URG：緊急指針（ urgent pointer）有效。
ACK：確認序號有效。
PSH：接收方應該盡快將這個報文段交給應用層。
RST：重建連接。
SYN：同步序號用來發起一個連接。
FIN：發端完成發送任務。
窗口大?。河糜诹髁靠刂?。
檢驗和：檢驗和覆蓋了整個的 TCP報文段： TCP首部和TCP數據，與udp相似需要計算偽首部。

tcp數據包結構及在wireshark中的位置

6、Tcp三次握手分析
客戶端->服務器：發送標識為SYN=1、隨機產生的客戶端序號seq（發送序號）
服務器->客戶端：發送標識為SYN=1、ACK=1、第一步產生的客戶端序號seq+1（確認序號）、隨機產生的服務端序號seq
客戶端->服務器：第一步產生的客戶端序號seq+1（發送序號）、第二步產生的服務端序號seq+1（確認序號）、ACK=1

三次數據包
其中[SYN]意為SYN位為1（如果沒有，則表示為0）。同理如果[]中有ACK，表示ACK位為1

6.1 第一次握手數據包
客戶端發送一個TCP，標志位為SYN，序列號為0， 代表客戶端請求建立連接。 如下圖

6.2 第二次握手的數據包
服務器發回確認包, 標志位為 SYN,ACK. 將確認序號(Acknowledgement Number)設置為客戶的I S N加1以.即0+1=1, 如下圖

6.3 第三次握手的數據包
客戶端再次發送確認包(ACK) SYN標志位為0,ACK標志位為1.并且把服務器發來ACK的序號字段+1,放在確定字段中發送給對方.并且在數據段放寫ISN的+1, 如下圖:

就這樣通過了TCP三次握手，建立了連接

過濾命令

1、過濾源ip、目的ip
在wireshark的過濾規則框Filter中輸入過濾條件。如查找目的地址為192.168.101.8的包，ip.dst==192.168.101.8；查找源地址為ip.src==1.1.1.1
2、端口過濾
如過濾80端口，在Filter中輸入，tcp.port==80，這條規則是把源端口和目的端口為80的都過濾出來。使用tcp.dstport==80只過濾目的端口為80的，tcp.srcport==80只過濾源端口為80的包
3、協議過濾
直接在Filter框中直接輸入協議名即可，如過濾HTTP的協議
4、http模式過濾
如過濾get包，http.request.method=="GET",過濾post包，http.request.method=="POST"
5、連接符and的使用
過濾兩種條件時，使用and連接，如過濾ip為192.168.101.8并且為http協議的，ip.src==192.168.101.8 and http