wireshark 2.2.1汉化版pc版

wireshark 2.2.1 64位电脑版介绍

初学者可以通过学习相关的网络协议知识，它能够通过捕获数据来进行过滤，不会受到其他数据的干扰，帮助用户来节省时间。当传输文件比较大的时候，还能够进行多个数据包的传输，提高整体的效率！

过滤规则

1.打开wireshark，先抓取一定数量的包，其中就包含你需要的数据包，要过滤出来，进行分析寻找问题

2.打开wireshark的帮助文档，如下图所示，是全英文的，不会的话就要去查和翻译了

3.在弹出的帮助文档页面上，如下图所示，找到wireshark的内容过滤的规则语法，所有的协议过滤都是如此，提供了基本的中括号运算符 “[]”进行内容的提取和判断

4.如果基本的英文不了解，可以打开百度翻译，一个一个单词查询翻译了，其实也不需要全部弄明白，看到那些基本的语法，基本的意思也可以猜出来

使用教程

1.过滤源ip.目的ip。

在wireshark的过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包，ip.dst==192.168.101.8；查找源地址为ip.src==1.1.1.1

2.端口过滤

如过滤80端口，在Filter中输入，tcp.port==80，这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的端口为80的，tcp.srcport==80只过滤源端口为80的包

3.协议过滤

比较简单，直接在Filter框中直接输入协议名即可，如过滤HTTP的协议

4.http模式过滤

如过滤get包，http.request.method==&GET&,过滤post包，http.request.method==&POST&

5.连接符and的使用。

过滤两种条件时，使用and连接，如过滤ip为192.168.101.8并且为http协议的，ip.src==192.168.101.8 and http。

基本设置

常用捕获过滤器：

tcp[13]&32==32 (设置了URG位的TCP数据包)

tcp[13]&16==16 (设置了ACK位的TCP数据包)

tcp[13]&8==8 (设置了PSH位的TCP数据包)

tcp[13]&4==4 (设置了RST位的TCP数据包)

tcp[13]&2==2 (设置了SYN位的TCP数据包)

tcp[13]&1==1 (设置了FIN位的TCP数据包)

tcp[13]==18 (TCP SYN-ACK 数据包)

ether host 00:00:00:00:00:00 (流入或流出MAC地址的流量,替换为你的mac)

!ether host 00:00:00:00:00:00 (不流入或流出MAC地址的流量,替换为你的mac)

broadcast (仅广播流量)

icmp (ICMP流量)

icmp[0:2]==0x0301 (ICMP目标不可达.主机不可达)

ip (仅IPv4流量)

ip6 (仅IPv6流量)

udp (仅UDP流量)

常用显示过滤器：

！tcp.port==3389 (排除RDP流量)

tcp.flags.syn==1 (具有SYN标志位的TCP数据包)

tcp.flags.rst==1 (具有RST标志位的TCP数据包)

!arp (排除ARP流量)

http (所有HTTP流量)

tcp.port==23||tcp.port ==21 (FTP或telnet)

smtp||pop||imap (smtp.pop或imap)

常见问题

1.Wireshark可以使用哪些设备来捕获数据包？

答：Wireshark可以读取以太网，令牌环，FDDI，串行（PPP和SLIP）的实时数据（如果它运行的操作系统允许Wireshark这样做），802.11无线局域网（如果它运行的操作系统允许Wireshark）要做到这一点），ATM连接（如果它运行的操作系统允许Wireshark这样做），以及最近版本的libpcap在Linux上支持的“任何”设备。

2.我安装了Wireshark RPM（或其他软件包）; 为什么安装TShark而不是Wireshark？

答： 许多发行版都有单独的Wireshark软件包，一个用于非GUI组件，如TShark，editcap，dumpcap等，另一个用于GUI。如果您的系统出现这种情况，可能会有一个名为的单独软件包wireshark-qt。找到并安装它。

3.当我尝试运行Wireshark时，为什么抱怨 sprint_realloc_objid未定义？

答： Wireshark只能与版本4.2.2或更高版本的UCD SNMP链接。你的Wireshark版本与这种版本的UCD SNMP动态链接; 但是，您安装了较旧版本的UCD SNMP，这意味着当运行Wireshark时，它会尝试链接到旧版本，并失败。您必须使用4.2.2版或更高版本替换该版本的UCD SNMP。