文章目录Wireshark 下载Wireshark 安装教程基本使用方法Wireshark 4.x 网络协议分析实战如何抓取HTTP/HTTPS数据包说到网络协议分析领域Wireshark 绝对是绕不开的一款抓包工具。无论你是做网络排障、安全审计还是单纯想学习 TCP/IP 协议栈它都能派上大用场。最近刚好给一台新机器搭环境就把Wireshark下载和Wireshark安装教程的完整过程顺手记录了下来给同样需要这款抓包工具的朋友做个参考。Wireshark 下载https://gitcode.com/iotagrid691/2vqhusfj根据你自己的操作系统选对应版本就行我这边用的是 Windows x64 Installer。如果你也在找Wireshark下载的资源上面这个链接可以直接取用。Wireshark 安装教程正式安装之前先说一个容易被忽略的点Wireshark 这款抓包工具工作在系统底层运行权限要求比较高。所以第一步先把 360 之类的安全软件和电脑管家全部退出不然安装中途可能被拦截导致组件装不全。(1) 先把电脑上正在运行的安全软件和电脑管家全部关掉避免后续步骤被意外拦截。(2) 找到前面下载好的安装包文件双击运行进入Wireshark安装教程的向导流程。(3) 欢迎页面打开后直接点 Next 继续。(4) 接下来是协议确认界面点击 Noted 往后走。(5) 组件选择这一页不用纠结维持默认配置直接点 Next。(6) 当前页面同样保持默认选项继续点 Next。(7) 这一页有个创建桌面快捷方式的选项列表中第二个勾选项看个人使用习惯。我习惯桌面上放个图标随时点开就能用。勾选完继续按 Next。(8) 到了选择安装路径的地方。我把它放到了 D 盘不太建议往 C 盘塞。别看 Wireshark 安装包不大但作为抓包工具长期用下来缓存文件会越积越多。路径设好之后点 Next。(9) 这一步是 NPcap 的安装选项。NPcap 是一个专门用于网络数据包捕获的底层引擎可以理解为 WinPcap 的升级替代抓包性能和稳定性都更好。如果你电脑上已经装过 NPcap 了可以不勾不确定的话老老实实默认勾上——毕竟它是 Wireshark 在 Windows 上正常抓包的前提。勾选完后点 Next。Wireshark 依赖 NPcap 才能抓到网络接口上的数据包这个组件不建议跳过不然装好之后发现抓不到任何流量还得回头补装。(10) 再往下是 USBPcap有抓取 USB 设备通信数据需求的可以勾上。平时用不到的话不勾也没关系。确认完这些选项之后点击 Install 开始正式安装。(11) 接下来就安心等进度条跑完。前面勾了 NPcap 的话中间会弹出 NPcap 自己的安装界面不用额外操作一路按默认设置往下点就行。(12) Npcap 安装完毕后会自动回到 Wireshark 的主流程点 Next 继续然后点 Finish 把 Npcap 这部分的安装收尾。(13) 最后等 Wireshark 主程序的安装进度走完依次点击 Next 和 Finish整个Wireshark安装教程到这里就顺利收工了。回头看整个安装流程说复杂也不复杂——绝大部分界面直接 Next 就过去了。真正需要留意的地方就两块NPcap 组件一定得勾上安装路径尽量别放 C 盘。这两个细节注意到了Wireshark下载和安装就算稳了。基本使用方法装好之后简单说一下这款抓包工具怎么上手操作。(1) 启动 Wireshark界面里会列出所有可用的网络接口。插着网线的选以太网连着 WiFi 的选 WLAN。(2) 左上角那个蓝色鲨鱼鳍图标就是开始抓包的按钮点下去立刻开始捕获经过该网卡的全部数据流量。旁边的方形按钮用来停止捕获。顶部的过滤器输入框可以按协议类型快速筛选在海量数据包里精准锁定你要找的内容。(3) 抓到需要的数据之后就能按需求逐层展开查看各层协议的详细字段了。Wireshark 4.x 网络协议分析实战如何抓取HTTP/HTTPS数据包在日常网络分析的工作场景里HTTP 和 HTTPS 几乎是出现频率最高的两种协议。用 Wireshark 4.x 来捕获这两类流量是上手这款抓包工具最直观的切入点。先说 HTTP 的抓取。因为 HTTP 是明文传输操作起来最直接。打开 Wireshark 4.x在过滤器那一栏输入http然后点击蓝色鲨鱼鳍开始捕获。接着在浏览器里随便访问一个 HTTP 网站就能看到请求报文和响应报文一条接一条地出现在抓包列表里。随便展开一个数据包从最外层的以太网帧开始依次到 IP 层、TCP 层最后到 HTTP 层的请求方法、响应状态码、返回的页面正文——每一层的细节都清清楚楚对理解 HTTP 协议的工作方式帮助极大。HTTPS 的情况就复杂一些了因为数据走了 TLS 加密。Wireshark 4.x 默认抓到的 HTTPS 流量是加密后的乱码直接看是看不到 HTTP 内容的。要想解密查看需要借助浏览器的 TLS 会话密钥。具体做法先设置系统环境变量SSLKEYLOGFILE让它指向一个指定的日志文件路径浏览器在运行时会自动把每次 TLS 握手的密钥写进这个文件里。然后打开 Wireshark 4.x 的偏好设置路径是 Edit → Preferences → Protocols → TLS在 “(Pre)-Master-Secret log filename” 这一栏填入刚才那个日志文件的完整路径。配置生效之后重新开始抓包Wireshark 4.x 就能自动识别并解密 HTTPS 流量把里面的 HTTP 请求和响应完整还原出来。掌握了这两个技巧日常工作中绝大部分网络协议分析的需求基本都能覆盖到了。刚才那个日志文件的完整路径。配置生效之后重新开始抓包Wireshark 4.x 就能自动识别并解密 HTTPS 流量把里面的 HTTP 请求和响应完整还原出来。掌握了这两个技巧日常工作中绝大部分网络协议分析的需求基本都能覆盖到了。