Wireshark 网络安全分析工具详解

Wireshark 网络安全分析工具详解 1. Wireshark 简介 Wireshark 是一款非常流行的网络封包分析软件，具有以下特点： 开源软件，可免费使用 功能强大，可以截取各种网络封包并显示详细信息 支持 Windows 和 Mac OS 操作系统 需要用户具备网络协议知识才能有效使用 官方下载网站 ：http://www.wireshark.org/ 2. Wireshark 功能限制 只能查看封包，不能修改封包内容 不能发送封包 可以获取 HTTPS 流量，但不能解密 HTTPS 内容 3. Wireshark 与 Fiddler 对比 | 工具 | 适用协议 | 特点 | |------|---------|------| | Wireshark | HTTP, HTTPS, TCP, UDP 等 | 通用网络协议分析，不能解密 HTTPS | | Fiddler | HTTP, HTTPS | 专门用于 Web 流量分析，可解密 HTTPS | 选择建议 ： 处理 HTTP/HTTPS 协议优先使用 Fiddler 分析 TCP/UDP 等其他协议使用 Wireshark 4. 同类工具 微软 Network Monitor Sniffer 5. Wireshark 用户群体 网络管理员：检查网络问题 软件测试工程师：分析测试软件的网络行为 网络编程工程师：调试 socket 程序 网络设备厂商工程师（如华为、中兴） 6. Sniffer 常见问题解决方案 找不到网卡问题 （Win7系统）： 右键 Sniffer 快捷方式 → 属性 设置兼容模式为 "Windows XP SP3" 确定后重新运行 仪表盘不动并提示 "channels A and B link faults" ： 原因：版本过低不支持千兆网卡 解决方案：升级到 SNIFFER PORTABLE V4.7.5 SP5 脚本错误提示 ： 安装 Java 运行环境 若仍有提示可忽略，不影响抓包功能 运行蓝屏问题 ： 千兆网卡必须使用 SnifferPro_ V4.7.5 SP5 版本 7. Wireshark 基本使用 7.1 开始抓包 选择网卡：Capture → Interfaces... 在多网卡环境下选择正确的网卡 点击 "Start" 开始抓包 7.2 主界面组成 Display Filter （显示过滤器）：用于过滤已捕获的数据 Packet List Pane （封包列表）：显示捕获的封包基本信息（源/目标地址、端口号等） Packet Details Pane （封包详细信息）：显示封包各层协议的字段信息 Dissector Pane （16进制数据）：显示封包的原始16进制数据 Miscellaneous （杂项）：地址栏等辅助信息 8. Wireshark 过滤技术 8.1 过滤器类型 显示过滤器 ： 在主界面使用 用于在已捕获的数据中查找特定记录 捕获过滤器 ： 在 Capture → Capture Filters 中设置 用于限制捕获的封包数量，减少冗余信息 8.2 过滤的重要性 避免在大量数据中迷失方向 快速定位关键网络信息 提高分析效率（特别是在处理数千甚至数万条记录时） 9. 学习建议 先掌握基础网络协议知识（TCP/IP, HTTP, UDP等） 从简单网络环境开始练习 逐步掌握过滤表达式的使用 结合实际网络问题进行分析实践