网络封包分析、抓包工具-wireshark V4.0.6 下载

网络封包工具其实也就是网络抓包软件，这类的软件小编分享过不少了，例如以前分享的wep封包工具就很不错。特此小编给大家分享一款wireshark汉化中文版下载，直接抓取网络封包获取封包信息。

界面预览图：

Wireshark 是一个强大的网络封包分析软件，本次小编分享的是wireshark汉化中文版下载，它可以尽量的对电脑上的网络封包进行抓取并分析，尽量显示出最为仔细的网络封包信息，以供各位参考。

这个强大的网络封包分析、抓包工具可以捕捉网络中的数据，并为广大网友提供对于网络与上层协议的多种信息。与很多其他网络工具一样，Wireshark 也使用 pcap network library 来进行封包捕捉。

Wireshark是实用的网络封包分析工具，旨在帮你进行故障排除，分析，软件与协议开发与培训。您期望在协议分析器中找到的所有标准功能都在这里，但Wireshark还具有一些附带功能，因为它是开源的，并且通过其用户社区得到了增强。遍布全球的全球网络顾问的贡献使Wireshark成为了功能特别强大的网络封包分析工具。

Wireshark 具有对几百种协议的深入检测，实时捕获与脱机分析甚至VoIP分析的功能。任何捕获的网络数据都能通过易于使用的GUI或TTY模式的TShark实用程序进行浏览。除此之外，可以从以太网，IEEE 802.11，PPP / HDLC，ATM，蓝牙，USB，令牌环，帧中继，FDDI等(取决于您的平台)读取实时数据。

wireshark汉化中文版功能：

1、深入检测几百种协议，一直在增加。

2、实时捕获与离线分析。

3、标准三窗格数据包浏览器。

4、多平台：在Windows，Linux，macOS，Solaris，FreeBSD，NetBSD与很多其他系统上运行。

捕获的网络数据可以通过GUI或TTY模式的TShark实用程序进行浏览。

5、业界最强大的显示过滤器。

6、丰富的VoIP分析。

7、读取/写入很多不同的捕获文件格式：tcpdump(libpcap)，Pcap NG，Catapult DCT2000，Cisco Secure IDS iplog，Microsoft网络监视器，Network GeneralSniffer(压缩与未压缩)，SnifferPro与NetXray，Network Instruments Observer ，NetScreen监听，Novell LANalyzer，RADCOM WAN / LAN分析器，Shomiti / Finisar Surveyor，Tektronix K12xx，Visual Networks Visual UpTime，WildPackets EtherPeek / TokenPeek / AiroPeek等。

8、使用gzip压缩的捕获文件可以即时解压缩。

9、可以从以太网，IEEE 802.11，PPP / HDLC，ATM，蓝牙，USB，令牌环，帧中继，FDDI等读取实时数据(取决于您的平台)。

10、对很多协议的解密支持，包含IPsec，ISAKMP，Kerberos，SNMPv3，SSL / TLS，WEP与WPA / W、PA2。

11、可以将着色规则应用于数据包列表，以进行快速，直观的分析。

12、输出可以导出为XML，PostScript®，CSV或纯文本。

特点：

1、丰富的VoIP分析

2、支持读取/写入很多不同的捕获文件格式

3、使用gzip压缩的捕获文件可以即时解压缩

4、可以从以太网，IEEE 802.11，PPP / HDLC，ATM

5、支持对很多协议的解密支持

6、可以将着色规则应用于数据包列表，以进行快速，直观的分析

7、输出可以导出为XML，PostScript，CSV或纯文本

8、支持百种协议且一直在增加

9、时捕获与离线分析

10、标准三窗口数据包浏览器

11、支持多平台

12、捕获数据可通过GUI等模式进行浏览

13、业界最强大的显示过滤器

wireshark汉化中文版安装方法：

1、解压后打开wireshark.exe安装程序开始安装，出现欢迎界面后，点击《Next》下一步。

2、点击《I Agree》同意许可协议。

3、选择相关组件，这里一般全部选择即可，点击《Next》下一步。

4、选择一些附带任务，不懂的话可以默认，点击《Next》下一步。

5、选择安装位置，您也可以点击《Browse》重新设置一个安装位置，点击《Next》下一步。

6、选择是否安装软件?一般默认即可，点击《Next》下一步。

7、最后一步，点击《Install》按钮开始正式安装。

8、wireshark汉化中文版安装完成。

wireshark网络封包分析、抓包教程：

1、安装并打开wireshark汉化中文版，依次点击菜单捕获-选项，设置需要捕获的网络适配器，点击开始。也可以在菜单捕获-开始、捕获-结束来控制开始结束。在捕获-捕获过滤器编辑捕获表达式。

2、在上述捕获菜单中进行的操作，也可以在工具栏进行，下图可供参考。

3、捕获后会给出结果结果，双击每一行记录，可在弹出窗口中查看仔细记录。

wireshark汉化中文版使用说明：

1、Wireshark界面说明

打开Wireshark后，可以看到三个区域。最上方是工具栏区域，可以开始捕获、停止捕获等操作。中间是Cpature Filter区域，可以在开始捕获前指定过滤规则。下方是可以捕获的网络设备，双击其中一个设备后就开始进行网络流量的捕获。

1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容。

2号窗口是1号窗口中选择的数据包的分协议层展示。底色为红色的是因为wireshark打开校验与验证而该层协议校验与又不正确所致。

3号窗口是1号窗口中选择的数据包的源数据，其中左侧是十六进制表示右侧是ASCII码表示。除此之外在2号窗口中选中某层或某字段，3号窗口对应位置也会被高亮。

2、捕获过滤器表达式

捕获过滤器表达式作用在wireshark开始捕获数据包之前，只捕获符合条件的数据包，不记录不符合条件的数据包。

捕获过滤器表达式没有像显示过滤器表达式那样明显的规律，但写法不多所以也不难;并且除非全部捕获要占用的磁盘空间实现太大，且你非常明确过滤掉的数据包是你不需要的，不然一般都不需要捕获过滤器表达式而用显示过滤器表达式。

在wireshark2.x版本，启动后欢迎界面即有捕获过滤器，在其中输入过滤表达式开始捕获数据包时即会生效。

点击图中书签标志，再点管理捕获筛选器，即可看到常见捕获过滤表达示的书写形式

3、显示过滤器表达示及其书写规律

显示过滤器表达式作用在在wireshark捕获数据包之后，从已捕获的所有数据包中显示出符合条件的数据包，隐藏不符合条件的数据包。

显示过滤表达示在工具栏下方的显示过滤器输入框输入即可生效。

-----------基本过滤表达式-----------

一条基本的表达式由过滤项、过滤关系、过滤值三项组成。

例如ip.addr == 192.168.1.1，这条表达式中ip.addr是过滤项、==是过滤关系，192.168.1.1是过滤值(整条表达示的意思是找出所有ip协议中源或目标ip、等于、192.168.1.1的数据包)

-----------过滤项-----------

初学者感觉的过滤表达式复杂，最主要就是在这个过滤项上：一是不知道有哪些过滤项，二是不知道过滤项该怎么写。

这两个问题有一个共同的答案-----wireshark的过滤项是协议+.+协议字段的模式。以端口为例，端口出现于tcp协议中所以有端口这个过滤项且其写法就是tcp.port。

推广到其他协议，如eth、ip、udp、http、telnet、ftp、icmp、snmp等等其他协议都是这么个书写思路。当然wireshark出于缩减长度的原因有部分字段没有使用协议规定的名称就是使用简写(例如Destination Port在wireshark中写为dstport)又出于简使用增加了一些协议中没有的字段(例如tcp协议唯有源端口与目标端口字段，为了简单使用wireshark增加了tcp.port字段来同时代表这两个)，但思路总的算是不变的。并且在实际使用时我们输入协议+.wireshark就会有支持的字段提示(特别是过滤表达式字段的首字母与wireshark在上边2窗口显示的字段名称首字母一般是一样的)，看下名称就大概知道要用哪个字段了。wireshark支持的全部协议及协议字段可查看官方说明。

-----------过滤关系-----------

过滤关系就是大于、小于、等于等几种等式关系，小伙伴们可以直接看官方给出的表。注意其中有English与C-like两个字段，这个意思是说English与C-like这两种写法在wireshark中是等价的、都是可用的。

-----------过滤值-----------

过滤值就是设置的过滤项应该满足过滤关系的标准，例如500、5000、50000等等。过滤值的写法一般已经被过滤项与过滤关系设置好了，仅仅填下自己的期望值就OK了。

-----------复合过滤表达示-----------

所谓复合过滤表达示，就是指由多条基本过滤表达式组合而成的表达示。基本过滤表达式的写法还是不变的，复合过滤表达示多出来的东西就仅仅基本过滤表达示的连接词

我们依然直接参照官方给出的表，同样English与C-like这两个字段还是说明这两种写法在wireshark中是等价的、都是可用的。

-----------常见用显示过滤需要及其对应表达式-----------

数据链路层：

筛选mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26

筛选源mac地址为04:f9:38:ad:13:26的数据包----eth.src == 04:f9:38:ad:13:26

网络层：

筛选ip地址为192.168.1.1的数据包----ip.addr == 192.168.1.1

筛选192.168.1.0网段的数据---- ip contains 192.168.1

筛选192.168.1.1与192.168.1.2中间的数据包----ip.addr == 192.168.1.1 ++ ip.addr == 192.168.1.2

筛选从192.168.1.1到192.168.1.2的数据包----ip.src == 192.168.1.1 ++ ip.dst == 192.168.1.2

传输层：

筛选tcp协议的数据包----tcp

筛选除tcp协议以外的数据包----！tcp

筛选端口为80的数据包----tcp.port == 80

筛选12345端口与80端口中间的数据包----tcp.port == 12345 ++ tcp.port == 80

筛选从12345端口到80端口的数据包----tcp.srcport == 12345 ++ tcp.dstport == 80

4、使用示例

《可使用连接符》

==(eq)　　//等于，equal

！=(ne)　　//不等于，no equal

<(lt)　　//小于，less than

>(gt)　　//大于，great than

>=(ge)　　//大于等于，great equal

<=(le)　　//小于等于，less equal

++　　//逻辑与运算

||　　//逻辑或运算

！　　//逻辑非运算

《过滤IP地址》

ip.addr==192.168.1.3　　//只显示源/目的IP为192.168.1.3的数据包

not ip.src==1.1.1.1　　//不显示源IP为1.1.1.1的数据包

ip.src==1.1.1.1 or ip.dst==1.1.1.2　　//只显示源IP为1.1.1.1或目的IP为1.1.1.2的数据包

《过滤端口》

tcp.port eq 80　　//只显示源/目的端口为80的数据包

tcp.dstport==80　　//只显示目的端口为80的数据包

tcp.srcport

tcp.port >=1 and tcp.port<=80　　//只显示源/目的端口大于等于1，小于等于80的数据包

《过滤MAC地址》

eth.dst==A0:00:00:04:C5:84　　//只显示目的MAC为A0:00:00:04:C5:84 的数据包

eth.addr eq A0:00:00:04:C5:84　　//作用同上

《过滤协议类别》

tcp、ip、dhcp、oicq、ftp、ssl等等

udp || icmp || dns　　//只显示udp、icmp、dns相关协议的数据包

not arp 等于 ！arp　　//不显示arp协议的数据包

《过滤协议参数》

tcp.flags.syn == 0x02　　//显示包含syn标志位的数据包

frame.len==119　　//整个数据包长度,从eth开始到最后

http.request.method==get　　//显示http请求中method值为get的包

wireshark汉化中文版字体设置方法：

1、如果字体太小，或者想换一种字体，请打开软件后，在菜单栏选择---编辑---首选项设置---用户接口---字体中设置。

2、在字体与颜色设置界面中，根据您的需要设置一下就OK了。

wireshark汉化中文版界面语言设置方法：

1、打开wireshark，依次点击编辑(edit选项卡)---首选项设置(preferences)打开。

2、在language一栏选择chinese简体中文就OK了。

3、设置成功后保存即可切换成中文界面，不过小编在测试这个wireshark汉化中文版时，安装完后打开软件就是中文界面，不需要切换。

小编总结：

小编自己以前也用过一阵wireshark，还是比较不错的一款抓包、封包软件，Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。特别是它的过滤器功能是非常强大的，使用它您可以轻轻容易松松截取多种网络数据包，并显示数据包仔细信息。常见于开发测试过程多种问题定位。

解压后，先运行《npcap-1.72.exe》安装，随后双击《WiresharkPortable64.exe》打开即可开始使用了。

Wireshark 4.0 之后版本不再支持32位系统，如果您仍在使用32位系统，请下载最后支持32位系统的Wireshark 3.6.8版本。