Wireshark 使用教程(从入门到进阶)
目录
一、Wireshark 概述
1.什么是 Wireshark?
2.Wireshark 的核心功能
二、Wireshark 安装与配置
1.下载与安装
2.安装时注意事项
三、Wireshark 抓包基础
四、过滤器(Filter)详解
1.捕获过滤器(Capture Filter)
2.显示过滤器(Display Filter)
五、常用分析操作
1.查看完整通信流
2.导出数据
3.查看流量统计
六、实战案例
1.抓取 App 与云端通信
2.抓取 IoT 设备(如 ESP32)MQTT 流量
3.抓取 WebSocket 通信
七、高级功能
1.HTTPS 解密
2.自定义颜色规则
3.命令行模式(tshark)
八、常见问题与解决方案
九、推荐使用场景
附:实用快捷键
本教程适合抓取和分析 App、嵌入式设备、IoT 系统、Web 通信等网络流量,特别适用于你在智能硬件和 IoT 项目中的调试分析。
一、Wireshark 概述
1.什么是 Wireshark?
Wireshark 是一款 免费、开源的网络协议分析工具,可实时捕获并显示网络中传输的数据包内容,被广泛用于:
-
网络协议调试
-
通信问题排查
-
安全分析
-
IoT / 嵌入式设备网络通信调试(如 MQTT、HTTP、WebSocket)
2.Wireshark 的核心功能
| 功能 | 说明 |
| 数据包捕获 | 实时抓取本机网卡上的数据流 |
| 协议解析 | 支持上千种协议(HTTP、MQTT、TLS、TCP、UDP、DNS、ICMP 等) |
| 过滤器(Filter) | 可使用表达式精准筛选数据包 |
| 颜色规则 | 不同协议类型可自动着色区分 |
| 流量重组 | 支持 TCP 流重组、SSL/TLS 解密 |
| 统计分析 | 提供流量、端口、延迟等统计功能 |
二、Wireshark 安装与配置
1.下载与安装
-
官网:https://www.wireshark.org/download.html
-
选择对应系统版本:
-
Windows:包含 Npcap(抓包驱动)
-
macOS:自带 libpcap
-
Linux:
sudo apt install wireshark
-
2.安装时注意事项
-
必须勾选 Npcap(Windows 用户)
-
以管理员权限运行
-
若需抓 HTTPS,请安装并导入系统证书(见高级部分)
三、Wireshark 抓包基础
1.启动抓包
2.打开 Wireshark
3.选择要监听的网卡(如 Wi-Fi、Ethernet)
4.点击左上角蓝色鲨鱼图标 ▶️ 开始捕获
提示: 在 IoT 项目中,可抓取同一局域网内设备与服务器通信的数据包。
5.停止与保存
-
点击红色方块 ⏹ 停止捕获
-
使用
File → Save As保存为.pcapng文件(供后续分析或分享)
6.数据包结构
Wireshark 中每条数据包含三层:
-
摘要区:显示时间、源地址、目的地址、协议、信息
-
详细区:解析每层协议字段(如 TCP 源端口、ACK、Seq)
-
十六进制视图:显示原始字节数据
四、过滤器(Filter)详解
过滤器是 Wireshark 的灵魂,分为两类:
1.捕获过滤器(Capture Filter)
在开始抓包前设置,只捕获符合条件的数据。
语法接近 BPF:
| 过滤目标 | 示例 | 说明 |
| 指定 IP | host 192.168.1.10 | 仅抓取与该 IP 通信的包 |
| 指定 |