Wireshark抓包工具中文版下载 v3.4.7 免费版34

Wireshark中文版是一款十分好用的在线抓包工具，一款能够帮助用户在电脑上完成最简单的抓包方式，专为用户带来最精准的网络抓包。Wireshark抓包工具是每一个用户在学习网络的必备工具之一，用户可以在这里快速学习，抓取网站，更好的学习网络相关内容，让你的学习更简单。

Wireshark让您可以在微观层面上看到网络上发生的事情，并且是许多商业和非营利企业、政府机构和教育机构的事实上（并且通常是法律上的）标准。

Wireshark中文版特色

深入检查数百个协议，并不断添加更多协议

实时捕获和离线分析

标准三窗格数据包浏览器

多平台：在 Windows、Linux、macOS、Solaris、FreeBSD、NetBSD 和许多其他平台上运行

可以通过 GUI 或通过 TTY 模式的 TShark 实用程序浏览捕获的网络数据

业内最强大的显示过滤器

丰富的VoIP分析

读取/写入许多不同的捕获文件格式：tcpdump (libpcap)、Pcap NG、Catapult DCT2000、Cisco Secure IDS iplog、Microsoft Network Monitor、Network General Sniffer®（压缩和未压缩）、Sniffer® Pro 和 NetXray®、Network Instruments Observer , NetScreen snoop, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek 等

使用 gzip 压缩的捕获文件可以即时解压缩

可以从以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、USB、令牌环、帧中继、FDDI 等（取决于您的平台）读取实时数据

对许多协议的解密支持，包括 IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2

可将着色规则应用于数据包列表，以进行快速、直观的分析

输出可以导出为 XML、PostScript®、CSV 或纯文本

Wireshark中文版怎么抓包

1.我们首先打开电脑上的wireshark。

2.点击抓取网络接口卡选择按钮，选择需要抓取的网卡接口。

3.点击途中的配置操作按钮，进入到抓包配置操作界面，进行相应配置。配置完成后点击start开始抓包。

4.开始抓包后，可以看到各通过该网络接口的数据报文被抓取到。

5.如果没有抓取到想要的数据包，则点击重新抓取按钮即可;或者抓取到个人需要的数据包之后，可以点击红色的停止按钮即可。

6Wireshark的前称是Ethereal。它是一个网络封包分析软件。网络封包分析软件的作用是撷取网络封包，并尽量显示出更为详细的网络封包资料。Wireshark使用WinPCAP当做接口，直接与网卡实现数据报文交换。在以往，网络封包分析软件是非常昂贵的，Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码。Ethereal是全世界最广泛的网络封包分析软件之一。

Wireshark中文版怎么过滤ip

1.在需要过滤源ip、目的ip的时候我们在抓包数据结果页面的Filter这个输入框中输入条件进行过滤即可，就比如我们查找目的地址为的数据包，就输入ip.dst==，查找源地址为这样就可以进行ip过滤了。

2.另外我们还有过滤端口的功能，就比如我们需要过滤80端口，就在Filter中输入，可以将源端口和目的端口为80的都过滤出来。

3.其中还有过滤协议的操作，是比较简单的，直接在其中输入协议名即可，就比如常用到的HTTP协议。

4.最后还有一种http模式过滤的方式，比如我们想要过滤get包，然后输入"GET"即可进行过滤。

Wireshark中文版怎么看丢包

一、测试环境

前端设备入网平台地址：172.21.6.14

媒体转发平台地址：172.21.6.15

浏览客户端地址：172.21.10.54

二、使用wireshark对抓取数据包分析

（1）使用wireshark工具打开数据包，在Filter后面的输入框中输入目的地址为172.21.6.14，点击Apply进行rtp包过滤，选中Telephony——RTP——Stream Analysis进行数据包筛选

通过抓包分析码流从前端至前端设备入网平台时是15394包，而实际收到的只有15386包，丢包率达0.05%，丢了8包。

（2）在Filter后面的输入框中输入源地址为172.21.6.14，目的地址为172.21.6.15，点击Apply进行rtp包过滤。

通过抓包分析码流从前端设备入网平台至媒体转发平台时为15386包，经过数据包包分析码流从前端设备入网平台至媒体转发平台体之间没有丢包。

（3）在Filter后面的输入框中输入源地址为172.21.6.15，目的地址为172.21.10.54，点击Apply进行rtp包过滤。

通过分析浏览客户端在接收时丢包率达1.39%，较严重丢222包；综上所述丢包存在于浏览客户端侧。

Wireshark常用过滤使用方法

过滤源ip、目的ip。

在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1

端口过滤。

如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包

协议过滤

比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议

http模式过滤。

如过滤get包，http.request.method=="GET",过滤post包，http.request.method=="POST"

连接符and的使用。

过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8 and http。

工作中，一些使用方式

调整时间格式

然后再排序下。根据时间字段

根据端口过滤

服务端端口是7018，和客户端建立socket连接，根据服务端的端口找到2者通信的所有socket数据（客户端进入房间后会异常断开，判断是客户端导致的还是服务端导致的）

tcp.port==7018，最后的RST报文是服务端发起的，说明是服务端主动断开的，缩小问题范围

仅从抓包信息看是服务器的一个流量控制机制启动了。服务器发回rst位，同时win置为0，是告诉客户端不要发包。按tcp流控机制来说，此时客户端应该停止发包，直至服务器发送信息告诉客户端可以继续发送。

TCP连接:SYN ACK RST UTG PSH FIN

三次握手：发送端发送一个SYN=1，ACK=0标志的数据包给接收端，请求进行连接，这是第一次握手；

接收端收到请求并且允许连接的话，就会发送一个SYN=1，ACK=1标志的数据包给发送端，告诉它，可以通讯了，并且让发送端发送一个确认数据包，这是第二次握手；

最后，发送端发送一个SYN=0，ACK=1的数据包给接收端，告诉它连接已被确认，这就是第三次握手。之后，一个TCP连接建立，开始通讯。

*SYN：同步标志

同步序列编号(Synchronize Sequence Numbers)栏有效。该标志仅在三次握手建立TCP连接时有效。它提示TCP连接的服务端检查序列编号，该序列编号为TCP连接初始端(一般是客户端)的初始序列编号。

在这里，可以把 TCP序列编号看作是一个范围从0到4，294，967，295的32位计数器。通过TCP连接交换的数据中每一个字节都经过序列编号。

在TCP报头中的序列编号栏包括了TCP分段中第一个字节的序列编号。

*ACK：确认标志

确认编号(Acknowledgement Number)栏有效。大多数情况下该标志位是置位的。TCP报头内的确认编号栏内包含的确认编号(w+1，Figure-1)为下一个预期的序列编号，同时提示远端系统已经成功接收所有数据。

*RST：复位标志

复位标志有效。用于复位相应的TCP连接。

*URG：紧急标志

紧急(The urgent pointer) 标志有效。紧急标志置位，

*PSH：推标志

该标志置位时，接收端不将该数据进行队列处理，而是尽可能快将数据转由应用处理。在处理 telnet 或 rlogin 等交互模式的连接时，该标志总是置位的。

*FIN：结束标志

带有该标志置位的数据包用来结束一个TCP回话，但对应端口仍处于开放状态，准备接收后续数据。

TCP的几个状态对于我们分析所起的作用。在TCP层，有个FLAGS字段，这个字段有以下几个标识：SYN, FIN, ACK, PSH, RST, URG.其中，对于我们日常的分析有用的就是前面的五个字段。它们的含义是：SYN表示建立连接，FIN表示关闭连接，ACK表示响应，PSH表示有 DATA数据传输，RST表示连接重置。

其中，ACK是可能与SYN，FIN等同时使用的，比如SYN和ACK可能同时为1，它表示的就是建立连接之后的响应，如果只是单个的一个SYN，它表示的只是建立连接。

TCP的几次握手就是通过这样的ACK表现出来的。但SYN与FIN是不会同时为1的，因为前者表示的是建立连接，而后者表示的是断开连接。

RST一般是在FIN之后才会出现为1的情况，表示的是连接重置。一般地，当出现FIN包或RST包时，我们便认为客户端与服务器端断开了连接；

而当出现SYN和SYN＋ACK包时，我们认为客户端与服务器建立了一个连接。

PSH为1的情况，一般只出现在DATA内容不为0的包中，也就是说PSH为1表示的是有真正的TCP数据包内容被传递。TCP的连接建立和连接关闭，都是通过请求－响应的模式完成的。