Wireshark綠色中文版是一款不僅免費而且完全開源的網(wǎng)絡(luò)嗅探抓包軟件，該軟件絕對是目前最受歡迎最為好用的網(wǎng)絡(luò)分析工具，采用的是擷取網(wǎng)絡(luò)封包，它可以為廣大用戶呈現(xiàn)出最為詳細的網(wǎng)絡(luò)封包資料，從微觀角度來挖掘數(shù)據(jù)，絕對是大家不可多得的必備軟件之一。

【軟件特色】

　　1、適用于UNIX和Windows。

　　2、從網(wǎng)絡(luò)接口捕獲實時數(shù)據(jù)包數(shù)據(jù)。

　　3、打開包含使用tcpdump / WinDump，Wireshark和許多其他數(shù)據(jù)包捕獲程序捕獲的數(shù)據(jù)包數(shù)據(jù)的文件。

　　4、從包含十六進制數(shù)據(jù)包數(shù)據(jù)轉(zhuǎn)儲的文本文件導(dǎo)入數(shù)據(jù)包。

　　5、顯示包含非常詳細協(xié)議信息的數(shù)據(jù)包。

　　6、保存捕獲的數(shù)據(jù)包數(shù)據(jù)。

　　7、以多種捕獲文件格式導(dǎo)出部分或全部數(shù)據(jù)包。

　　8、根據(jù)許多標準過濾數(shù)據(jù)包。

　　9、按許多標準搜索數(shù)據(jù)包。

　　10、根據(jù)過濾器對數(shù)據(jù)包顯示進行著色。

　　11、創(chuàng)建各種統(tǒng)計數(shù)據(jù)。

【功能介紹】

　　1、深入檢查數(shù)百種協(xié)議，一直在增加

　　2、實時捕獲和離線分析

　　3、標準三窗格數(shù)據(jù)包瀏覽器

　　4、多平臺：在Windows，Linux，macOS，Solaris，F(xiàn)reeBSD，NetBSD和許多其他操作系統(tǒng)上運行

　　5、捕獲的網(wǎng)絡(luò)數(shù)據(jù)可以通過GUI或TTY模式的TShark實用程序進行瀏覽

　　6、業(yè)界最強大的顯示過濾器

　　7、豐富的VoIP分析

　　8、讀取/寫入許多不同的捕獲文件格式：tcpdump（libpcap），Pcap NG，Catapult DCT2000，Cisco Secure IDS iplog，Microsoft Network Monitor，Network GeneralSniffer（壓縮和未壓縮），Sniffer Pro和NetXray，Network Instruments Observer ，NetScreen監(jiān)聽，Novell LANalyzer，RADCOM WAN / LAN分析器，Shomiti / Finisar Surveyor，Tektronix K12xx，Visual Networks Visual UpTime，WildPackets EtherPeek / TokenPeek / AiroPeek等

　　9、使用gzip壓縮的捕獲文件可以即時解壓縮

　　10、可以從以太網(wǎng)，IEEE 802.11，PPP / HDLC，ATM，藍牙，USB，令牌環(huán)，幀中繼，F(xiàn)DDI等讀取實時數(shù)據(jù)（取決于您的平臺）

　　11、對許多協(xié)議的解密支持，包括IPsec，ISAKMP，Kerberos，SNMPv3，SSL / TLS，WEP和WPA / WPA2

　　12、可以將著色規(guī)則應(yīng)用于數(shù)據(jù)包列表，以進行快速，直觀的分析

　　13、輸出可以導(dǎo)出為XML，PostScript，CSV或純文本

【使用教程】

　　1、在本站下載解壓，得到wireshark綠色便攜版安裝包；

　　2、雙擊“WiresharkPortable_3.4.2.paf.exe”開始安裝，選擇中文語言；

　　3、默認安裝目錄【C:\Users\Administrator\Desktop\wireshark綠色便攜版\WiresharkPortable】，依提示繼續(xù)安裝；

　　4、安裝完成后，將會顯示便攜版已安裝完成。

【怎么抓包】

　　1、打開軟件之后，點擊抓取網(wǎng)絡(luò)接口卡選擇按鈕，選擇需要抓取的網(wǎng)卡接口；如果不確定是那個網(wǎng)絡(luò)接口，則可以看packes項數(shù)據(jù)變化最多接口，選中它然后點擊"start"開始抓包；

　　3、如果需要進行特別的配置，則需要先進行抓包錢的配置操作，點擊途中的配置操作按鈕，進入到抓包配置操作界面，進行相應(yīng)配置；配置完成后點擊“start”開始抓包；

　　4、wireshark啟動后，wireshark處于抓包狀態(tài)中；

　　5、執(zhí)行需要抓包的操作；

　　6、操作完成后相關(guān)數(shù)據(jù)包就抓取到了。為避免其他無用的數(shù)據(jù)包影響分析，可以通過在過濾欄設(shè)置過濾條件進行數(shù)據(jù)包列表過濾，獲取結(jié)果如下。說明：ip.addr == 119.75.217.26 and icmp 表示只顯示ICPM協(xié)議且源主機IP或者目的主機IP為119.75.217.26的數(shù)據(jù)包；

　　7、如果沒有抓取到想要的數(shù)據(jù)包，則點擊重新抓取按鈕即可；或者抓取到個人需要的數(shù)據(jù)包之后，可以點擊紅色的停止按鈕即可；

　　8、數(shù)據(jù)包列表區(qū)中不同的協(xié)議使用了不同的顏色區(qū)分。協(xié)議顏色標識定位在菜單欄視圖 --> 著色規(guī)則，如下所示。

【過濾規(guī)則】

　　表達式規(guī)則

　　1、協(xié)議過濾

　　比如TCP，只顯示TCP協(xié)議。

　　2、IP 過濾

　　比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102，

　　ip.dst==192.168.1.102, 目標地址為192.168.1.102

　　3、端口過濾

　　tcp.port ==80, 端口為80的

　　tcp.srcport == 80, 只顯示TCP協(xié)議的愿端口為80的。

　　4、Http模式過濾

　　http.request.method=="GET", 只顯示HTTP GET方法的。

　　5、邏輯運算符為 AND/ OR

【過濾關(guān)鍵字】

　　封包列表(Packet List Pane)

　　封包列表的面板中顯示，編號，時間戳，源地址，目標地址，協(xié)議，長度，以及封包信息。 你可以看到不同的協(xié)議用了不同的顏色顯示。

　　你也可以修改這些顯示顏色的規(guī)則， View ->Coloring Rules.

　　例子:

　　ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107

　　或者

　　ip.addr eq 192.168.1.107 // 都能顯示來源IP和目標IP

　　Linux上運行的wireshark圖形窗口截圖示例，其他過慮規(guī)則操作類似，不再截圖。

　　ip.src eq 10.175.168.182

　　提示： 在Filter編輯框中，收入過慮規(guī)則時，如果語法有誤，框會顯紅色，如正確，會是綠色。

　　過濾端口

　　了解了上面的Wireshark過濾規(guī)則之后，接下來小編給大家講解的就是過濾端口，其實這個過濾端口的含義還是比較容易理解的，那么有不懂的用戶可以參考下面小編給大家分享的內(nèi)容，讓你能夠清楚它的整個使用流程。

　　例子:

　　tcp.port eq 80 // 不管端口是來源的還是目標的都顯示

　　tcp.port == 80

　　tcp.port eq 2722

　　tcp.port eq 80 or udp.port eq 80

　　tcp.dstport == 80 // 只顯tcp協(xié)議的目標端口80

　　tcp.srcport == 80 // 只顯tcp協(xié)議的來源端口80

　　udp.port eq 15000

　　那么過濾端口范圍：

　　tcp.port >= 1 and tcp.port <= 80

【更新日志】

　　wireshark綠色便攜版 v3.4.2更新說明

　　bug修復(fù)

　　wnpa-sec-2020-07 BACapp解剖器可能崩潰

　　其他

　　添加（IETF）QUIC Dissector。

　　重命名配置文件名稱將丟失列表選擇。

　　剖析器錯誤警告，剖析具有許多名稱的TLS證書請求。

　　在-> TCP流圖->時間序列（tcptrace）中，只有ACK，但沒有數(shù)據(jù)幀可見。

　　復(fù)制>描述不適用于所有樹項目。

　　在Windows中導(dǎo)入配置文件-zip文件失敗，并且目錄崩潰使Wireshark崩潰。

　　添加或刪除顯示過濾器時，“數(shù)據(jù)包列表”選擇消失了。

　　檢查更新和自動更新，在3.2.1中不起作用。

　　f5ethtrailer：TLS尾部創(chuàng)建不正確的CLIENT鍵盤日志條目。

　　Buildbot崩潰輸出：randpkt-2020-03-04-18423.pcap。

　　文件打開對話框顯示亂碼。

　　無可選原因的RTCP Bye報告為[格式錯誤的數(shù)據(jù)包]。

　　[oss-fuzz]＃20732：dissect_rtcp中的未定義移位。

　　SOMEIP：如果正在使用IPv6（BUG），則SOME / IP-SD解剖器無法注冊SOME / IP端口。

　　tshark日志：“ ...無法打開：打開的文件太多。”

　　關(guān)于Wireshark>鍵盤快捷方式>忽略所有顯示的內(nèi)容中的錯字。

　　Buildbot崩潰輸出：randpkt-2020-04-02-31746.pcap。