wireshark 64位網絡分析器是一款功能強大的開源網絡協議分析器，軟件可以顯示出最詳細的網絡封包資料，軟件已經漢化破解，支持64位操作系統，需要的用戶趕快來IT貓撲下載體驗吧！

wireshark 64位網絡分析器介紹

Wireshark 是一款非常棒的Unix和Windows上的開源網絡協議分析器。它可以實時檢測網絡通訊數據，也可以檢測其抓取的網絡通訊數據快照文件?？梢酝ㄟ^圖形界面瀏覽這些數據，可以查看網絡通訊數據包中每一層的詳細內容。Wireshark擁有許多強大的特性：包含有強顯示過濾器語言（rich display filter language）和查看TCP會話重構流的能力；它更支持上百種協議和媒體類型； 擁有一個類似tcpdump(一個Linux下的網絡協議分析工具)的名為tethereal的的命令行版本。

過濾表達式的規則

1. 協議過濾

比如TCP，只顯示TCP協議。

2. IP 過濾

比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102，

ip.dst==192.168.1.102, 目標地址為192.168.1.102

3. 端口過濾

tcp.port ==80, 端口為80的

tcp.srcport == 80, 只顯示TCP協議的愿端口為80的。

4. Http模式過濾

http.request.method==“GET”, 只顯示HTTP GET方法的。

5. 邏輯運算符為 AND/ OR

工作流程

(1)確定Wireshark的位置。如果沒有一個正確的位置，啟動Wireshark后會花費很長的時間捕獲一些與自己無關的數據。

(2)選擇捕獲接口。一般都是選擇連接到Internet網絡的接口，這樣才可以捕獲到與網絡相關的數據。否則，捕獲到的其它數據對自己也沒有任何幫助。

(3)使用捕獲過濾器。通過設置捕獲過濾器，可以避免產生過大的捕獲文件。這樣用戶在分析數據時，也不會受其它數據干擾。而且，還可以為用戶節約大量的時間。

(4)使用顯示過濾器。通常使用捕獲過濾器過濾后的數據，往往還是很復雜。為了使過濾的數據包再更細致，此時使用顯示過濾器進行過濾。

(5)使用著色規則。通常使用顯示過濾器過濾后的數據，都是有用的數據包。如果想更加突出的顯示某個會話，可以使用著色規則高亮顯示。

(6)構建圖表。如果用戶想要更明顯的看出一個網絡中數據的變化情況，使用圖表的形式可以很方便的展現數據分布情況。

(7)重組數據。Wireshark的重組功能，可以重組一個會話中不同數據包的信息，或者是一個重組一個完整的圖片或文件。由于傳輸的文件往往較大，所以信息分布在多個數據包中。為了能夠查看到整個圖片或文件，這時候就需要使用重組數據的方法來實現。

Wireshark使用場景

1.網絡管理員使用它解決網絡問題

2.網絡安全工程師使用它來檢查安全問題

3.質量保證工程師使用它來驗證網絡應用

4.開發人員使用它調試協議實現

5.使用它來學習網絡協議內部

wireshark64位中文版軟件特色

包含有強顯示過濾器語言（rich display filter language）和查看TCP會話重構流的能力；

它更支持上百種協議和媒體類型：

擁有一個類似tcpdump（一個Linux下的網絡協議分析工具）的名為tethereal的的命令行版本。

在過去，網絡封包分析軟件是非常昂貴，或是專門屬于營利用的軟件。

Ethereal的出現改變了這一切。

在GNU GPL通用許可證的保障范圍底下，使用者可以以免費的代價取得軟件與其程式碼，并擁有針對其原始碼修改及客制化的權利。Ethereal是目前全世界最廣泛的網絡封包分析軟件之一。

Wireshakr抓包界面

說明：數據包列表區中不同的協議使用了不同的顏**分。協議顏色標識定位在菜單欄View --> Coloring Rules。如下所示

WireShark 主要分為這幾個界面

1. Display Filter(顯示過濾器)，? 用于設置過濾條件進行數據包列表過濾。菜單路徑：Analyze -->?Display Filters。

2. Packet List Pane(數據包列表)， 顯示捕獲到的數據包，每個數據包包含編號，時間戳，源地址，目標地址，協議，長度，以及數據包信息。 不同協議的數據包使用了不同的顏**分顯示。

? 3. Packet Details Pane(數據包詳細信息), 在數據包列表中選擇指定數據包，在數據包詳細信息中會顯示數據包的所有詳細信息內容。數據包詳細信息面板是最重要的，用來查看協議中的每一個字段。各行信息分別為

（1）Frame:? ?物理層的數據幀概況

（2）Ethernet II: 數據鏈路層以太網幀頭部信息

（3）Internet Protocol Version 4: 互聯網層IP包頭部信息

（4）Transmission Control Protocol:? 傳輸層T的數據段頭部信息，此處是TCP

（5）Hypertext Transfer Protocol:? 應用層的信息，此處是HTTP協議

TCP包的具體內容

從下圖可以看到wireshark捕獲到的TCP包中的每個字段。

4. Dissector Pane(數據包字節區)。

Wireshark過濾器設置

初學者使用wireshark時，將會得到大量的冗余數據包列表，以至于很難找到自己自己抓取的數據包部分。wireshar工具中自帶了兩種類型的過濾器，學會使用這兩種過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

（1）抓包過濾器

捕獲過濾器的菜單欄路徑為Capture --> Capture Filters。用于在抓取數據包前設置。

?如何使用？可以在抓取數據包前設置如下。

ip host 60.207.246.216 and icmp表示只捕獲主機IP為60.207.246.216的ICMP數據包。獲取結果如下：

（2）顯示過濾器

顯示過濾器是用于在抓取數據包后設置過濾條件進行過濾數據包。通常是在抓取數據包時設置條件相對寬泛，抓取的數據包內容較多時使用顯示過濾器設置條件顧慮以方便分析。同樣上述場景，在捕獲時未設置捕獲規則直接通過網卡進行抓取所有數據包，如下

執行ping www.huawei.com獲取的數據包列表如下

觀察上述獲取的數據包列表，含有大量的無效數據。這時可以通過設置顯示器過濾條件進行提取分析信息。ip.addr == 211.162.2.183 and icmp。并進行過濾。

上述介紹了抓包過濾器和顯示過濾器的基本使用方法。在組網不復雜或者流量不大情況下，使用顯示器過濾器進行抓包后處理就可以滿足我們使用。下面介紹一下兩者間的語法以及它們的區別。

更新日志

bug修復

wnpa-sec-2020-07 BACapp解剖器可能崩潰

其他

添加（IETF）QUIC Dissector。

重命名配置文件名稱將丟失列表選擇。

剖析器錯誤警告，剖析具有許多名稱的TLS證書請求。

在-> TCP流圖->時間序列（tcptrace）中，只有ACK，但沒有數據幀可見。

復制>描述不適用于所有樹項目。

在Windows中導入配置文件-zip文件失敗，并且目錄崩潰使Wireshark崩潰。

添加或刪除顯示過濾器時，“數據包列表”選擇消失了。

檢查更新和自動更新，在3.2.1中不起作用。

f5ethtrailer：TLS尾部創建不正確的CLIENT鍵盤日志條目。

Buildbot崩潰輸出：randpkt-2020-03-04-18423.pcap。

文件打開對話框顯示亂碼。

無可選原因的RTCP Bye報告為[格式錯誤的數據包]。

[oss-fuzz]＃20732：dissect_rtcp中的未定義移位。

SOMEIP：如果正在使用IPv6（BUG），則SOME / IP-SD解剖器無法注冊SOME / IP端口。

tshark日志：“ ...無法打開：打開的文件太多?！?/p>

關于Wireshark>鍵盤快捷方式>忽略所有顯示的內容中的錯字。

Buildbot崩潰輸出：randpkt-2020-04-02-31746.pcap。

wireshark 64位網絡分析器v4.0.1 中文免費版下載地址