网络实战：如何使用 Wireshark 进行网络数据包分析？（超详细入门+实战教程）-程序员充电站

网络实战：如何使用 Wireshark 进行网络数据包分析？（超详细入门+实战教程）

- 前言
一、Wireshark 介绍：什么是 Wireshark？
- 1.1 定义
- 1.2 核心用途
二、Wireshark 工作原理：数据包捕获机制
- 2.1 工作原理
- 2.2 工作流程图
三、Wireshark 安装：环境准备
- 3.1 下载
- 3.2 安装要点
四、Wireshark 使用步骤：标准抓包流程（8步实战）
- 4.1 步骤1：打开 Wireshark
- 4.2 步骤2：选择监听网卡
- 4.3 步骤3：开始抓包
- 4.4 步骤4：复现故障/操作
- 4.5 步骤5：停止抓包
- 4.6 步骤6：使用过滤器筛选数据包
- 4.7 步骤7：分析数据包内容
- 4.8 步骤8：定位问题并保存抓包文件
五、Wireshark 界面介绍：三大核心区域
- 5.1 显示过滤器区域（最上方）
- 5.2 数据包列表区域（中间）
- 5.3 数据包详细解析区域（下方）
六、Wireshark 过滤语法：最实用过滤规则（必背）
- 6.1 按 IP 过滤
- 6.2 按协议过滤
- 6.3 按端口过滤
- 6.4 多条件组合过滤
七、Wireshark 实战分析：常见协议分析
- 7.1 分析 ICMP（ping）
- 7.2 分析 DNS 解析
- 7.3 分析 TCP 三次握手
- 7.4 分析 HTTP/HTTPS
- 7.5 分析 DHCP
八、Wireshark 网络排错：经典故障分析
- 8.1 网络不通
- 8.2 访问网站慢
- 8.3 TCP 异常标志
九、Wireshark 实用技巧（提高效率）
- 9.1 追踪数据流
- 9.2 清除抓包
- 9.3 保存抓包
- 9.4 时间显示格式
- 9.5 统计流量
十、Wireshark 使用注意事项
十一、总结
- 11.1 Wireshark 核心流程
- 11.2 核心能力

🌺The Begin🌺点点关注，收藏不迷路🌺

前言

Wireshark 是全球最流行的免费开源网络数据包分析工具，广泛用于网络排错、协议学习、安全审计、故障定位。无论是新手学习网络协议，还是工程师定位复杂网络问题，Wireshark 都是必备神器。

本文带你从零开始，掌握 Wireshark安装、抓包、过滤、分析、排错全流程，附带流程图、实战步骤，可直接用于工作与学习。

一、Wireshark 介绍：什么是 Wireshark？

1.1 定义

Wireshark 是一款网络数据包捕获与分析工具，可以实时抓取网卡收发的所有数据，并对数据包进行解析、展示、过滤、统计。

1.2 核心用途

网络故障排查（不通、延迟、丢包、重传）
协议学习（TCP、UDP、HTTP、DNS、DHCP 等）
网络安全分析（攻击、异常流量）
应用层数据交互分析
网络性能监控

二、Wireshark 工作原理：数据包捕获机制

2.1 工作原理

借助网卡驱动（WinPcap/Npcap）监听网络流量
抓取所有经过网卡的数据包
自动解析二层~七层协议头部
展示数据内容与交互过程

2.2 工作流程图

三、Wireshark 安装：环境准备

3.1 下载

官网：www.wireshark.org

3.2 安装要点

一路默认下一步
必须安装 Npcap 驱动（抓包核心）
安装完成后重启电脑

四、Wireshark 使用步骤：标准抓包流程（8步实战）

4.1 步骤1：打开 Wireshark

主界面展示所有可抓包网卡

4.2 步骤2：选择监听网卡

选择正在上网的网卡：

以太网
WLAN
本地回环 127.0.0.1

4.3 步骤3：开始抓包

点击左上角鲨鱼鳍图标Start capturing packets

4.4 步骤4：复现故障/操作

例如：

访问网站
ping 测试
登录失败
让 Wireshark 抓取问题流量

4.5 步骤5：停止抓包

点击红色正方形按钮

4.6 步骤6：使用过滤器筛选数据包

4.7 步骤7：分析数据包内容

4.8 步骤8：定位问题并保存抓包文件

五、Wireshark 界面介绍：三大核心区域

5.1 显示过滤器区域（最上方）

输入过滤规则，筛选需要的数据包

5.2 数据包列表区域（中间）

显示所有抓包记录

编号
时间
源IP
目的IP
协议
长度
信息

5.3 数据包详细解析区域（下方）

物理层/数据链路层（以太网头）
网络层（IP头）
传输层（TCP/UDP头）
应用层（HTTP/DNS等数据）

六、Wireshark 过滤语法：最实用过滤规则（必背）

过滤规则是 Wireshark核心技能。

6.1 按 IP 过滤

ip.addr == 192.168.1.100 ip.src == 192.168.1.100 ip.dst == 114.114.114.114

6.2 按协议过滤

tcp udp icmp dns http https || tls arp dhcp

6.3 按端口过滤

tcp.port == 80 tcp.port == 443 tcp.dstport == 22 udp.port == 53

6.4 多条件组合过滤

ip.addr==192.168.1.100 and tcp.port==443 dns or icmp

七、Wireshark 实战分析：常见协议分析

7.1 分析 ICMP（ping）

过滤：icmp
查看：

请求包（echo request）
响应包（echo reply）
判断是否丢包、超时

7.2 分析 DNS 解析

过滤：dns
查看：

查询域名
解析结果IP
判断 DNS 是否故障

7.3 分析 TCP 三次握手

过滤：tcp.flags.syn==1
三次握手标志：

SYN
SYN+ACK
ACK

7.4 分析 HTTP/HTTPS

http tls

查看：请求方法、状态码、域名

7.5 分析 DHCP

过滤：dhcp
查看地址获取过程

八、Wireshark 网络排错：经典故障分析

8.1 网络不通

无响应包
请求丢失
RST 复位包
目标不可达

8.2 访问网站慢

TCP 重传
丢包
延迟大
DNS 解析慢

8.3 TCP 异常标志

RST：连接强制断开
FIN：正常断开
Dup ACK：丢包重传
ZeroWindow：窗口满，流量堵塞

九、Wireshark 实用技巧（提高效率）

9.1 追踪数据流

右键数据包 → Follow → TCP Stream / HTTP Stream

9.2 清除抓包

Ctrl + X

9.3 保存抓包

文件 → 保存 → .pcapng

9.4 时间显示格式

查看 → Time Display Format → Seconds

9.5 统计流量

统计 → Conversations → IP/TCP

十、Wireshark 使用注意事项

必须管理员运行
必须安装 Npcap
只能抓取本机收发的数据包
HTTPS 是加密的，无法看到明文内容
不要用于非法监听

十一、总结

11.1 Wireshark 核心流程

选择网卡 → 开始抓包 → 复现问题 → 过滤筛选 → 分析定位 → 保存记录

11.2 核心能力

抓包
过滤
协议解析
故障定位

掌握 Wireshark，你就能看见网络底层真实运行过程，任何网络问题都能快速定位！

🌺The End🌺点点关注，收藏不迷路🌺