Wireshark网络抓包工具中文版下载 v3.6.1 便携版(集成驱动库)

软件介绍

Wireshark便携版是一款专业的网络抓包工具，一款能够满足每一个用户在软件中轻松抓取任意软件的网络数据信息，在这里快速查看，使用起来更简单。Wireshark网络抓包工具体积轻巧，功能强大，全新的网络数据代码的识别，一站式快速抓取，让用户不丢失你网络信息，使用起来更方便。

Wireshark中文版集成了网络抓包专用的驱动库，一键快速安装，方便了用户的在线抓包，让用户能够在这里抓取那些网络代码，更好的了解网络中的会话交流。

Wireshark抓包怎么看懂数据信息

1.首先，我们进入wireshark的向导界面。在网卡列表中选择需要抓包的网卡，再点击“Start”按钮，wireshark便开始执行对该网卡抓包数据的指令。

2.然后，进入wireshark的主界面。我们先对照下图来熟悉wireshark窗口的内容构成。我们在看wireshark抓包数据的时候，主要是看“封包列表”和“封包详细信息”这两项数据。

3.要看懂wireshark抓包数据，还得了解数据包顶部标题栏到底代表什么。No.是数据包的标号；Time是wireshark抓包的用时；Source是IP来源；Destination是目的IP；Protocol是协议；Length是数据包的长度；Info是数据包信息。

4.当我们在封包列表中任意点击一项数据包的时候，它的颜色显示会跟其他的不一样。而且还会展示该数据包的详细信息。

5.接下来，跟大家说说怎么看wireshark抓包数据的详细信息。在上图中就可以看到每一项信息的左侧都会有一个“>”符号。当点击它的时候，就会具体展示该信息项的信息了。比如说“Frame”，它是数据包的物理层，可以从中看到帧数、封装类型等等。

6.当点击展开“Ethernet II”的时候，可以从中看到wireshark数据包的目的和源MAC地址和使用IP协议。

7.而点击展开“Internet Protocol Version”，可以看到IP数据包总长度，头部数据的校验状态等等。

8.同样的，再点击展开“Transmission Control Protocol”的时候，就可以看到端口号、序列号等等。

9.最后，如果用户不需要wireshark继续抓包，就点击wireshark左上方的红色“停止”按钮即可结束抓包。

用户在看wireshark抓包数据的时候，可以看到它是只能抓包而不能修改数据包的内容。尽管它能抓到HTTP，但是不能解密。所以，一般来说，在抓取TCP或者UDP数据包的时候，我们才会用wireshark。

Wireshark便携版用法介绍

为了从网络上抓包，你需要把dumpcap程序set-UID设置为Root或者/dev如果你的系统这么倾向你需要访问下相应的入口（BSD衍生系统，以及系统如Solaris和支持 DLPI 的 HP-UX，通常属于这一类）。尽管将 Wireshark 和 TShark 可执行文件设为 setuid root 或以 root 身份运行它们可能很诱人，但请不要这样做。捕获过程已经在dumpcap中进行了隔离；这个简单的程序不太可能包含安全漏洞，因此以 root 身份运行更安全。

多种文件类型

Wireshark 可以从许多不同的文件类型中读取数据包。有关支持的文件格式列表，请参阅 Wireshark 手册页或 Wireshark 用户指南。

如果编译 Wireshark 时所需的压缩库可用，则 Wireshark 可以透明地读取任何这些文件的压缩版本。目前支持的压缩格式有：

邮编

ZSTD

LZ4

您可以通过运行禁用 zlib 支持cmake -DENABLE_ZLIB=OFF。

尽管 Wireshark 可以读取 AIX iptrace 文件，但关于 AIX 的 iptrace packet-trace 命令的文档很少。该iptrace命令启动一个守护进程，您必须杀死它才能停止跟踪。通过实验，似乎向该 iptrace 守护程序发送 HUP 信号会导致正常关闭，并将完整的数据包写入跟踪文件。如果最后保存了部分数据包，Wireshark 在读取该文件时会报错，但您将能够读取所有其他数据包。如果发生这种情况，请通过wireshark-dev@wireshark.org告知 Wireshark 开发人员；如果该跟踪文件很小并且包含非敏感数据，请务必向我们发送该跟踪文件的副本。

对 Lucent/Ascend 产品的支持仅限于 MAX 和 Pipline 系列产品生成的调试跟踪输出。Wireshark的可以读取的输出wandsession，wandisplay，wannext，和wdd 命令。

Wireshark 还可以读取来自东芝“紧凑型路由器”系列 ISDN 路由器（TR-600 和 TR-650）的转储跟踪输出。您可以 telnet 到路由器并使用snoop dump.

CoSine L2 调试输出也可以由 Wireshark 读取。要获得 L2 调试输出，首先进入 diags 模式，然后使用第 2 层类别下的create-pkt-log-profile和apply-pkt-lozg-profile命令。有关如何使用这些命令的更多详细信息，您应该通过layer-2 create ?或查看帮助命令layer-2 apply ?。

要在 Wireshark 中使用 Lucent/Ascend、Toshiba 和 CoSine 跟踪，您必须将跟踪输出捕获到磁盘上的文件中。跟踪发生在路由器内部，路由器无法为您将跟踪保存到文件中。在 Unix 下执行此操作的一种简单方法是运行telnet <ascend> | tee <outfile>. 或者，如果您的系统安装了“脚本”命令，您可以将一个 shell 会话（包括 telnet）保存到一个文件中。例如，登录到名为 tracefile.out 的文件：

$ script tracefile.out

Script started on <date/time>

$ telnet router

..... do your trace, then exit from the router's telnet session.

$ exit

Script done on <date/time>

网络管理协议

Wireshark 可以对 SNMP 数据包做一些基本的解码；它还可以使用 libsmi 库通过读取 MIB 文件并使用这些文件中的信息以更友好的方式显示 OID 和变量绑定值来进行更复杂的解码。CMake 将自动确定您的系统上是否有 libsmi 库。如果您有 libsmi 库但不希望 Wireshark 使用它，您可以使用该-DENABLE_SMI=OFF选项运行 cmake 。

如何报告错误

Wireshark 正在不断开发中，因此您在使用它时可能会遇到错误。请在https://gitlab.com/wireshark/wireshark/-/issues报告错误。确保您进入错误：

来自“帮助”菜单中“关于 Wireshark”项的完整构建信息或wireshark -vWireshark 错误的输出和tshark -vTShark 错误的输出；

如果错误发生在 Linux 上，您使用的 Linux 发行版以及该发行版的版本；

您用于调用 Wireshark 的命令（如果您从命令行运行 Wireshark）或 TShark（如果您运行 TShark），以及您执行的导致错误出现的操作序列。

如果错误是由特定跟踪文件产生的，请确保将跟踪文件与错误描述一起附加到错误。如果跟踪文件包含敏感信息（例如密码），请不要发送。

如果 Wireshark 因“分段违规”、“总线错误”、“中止”或其他产生 UNIX 核心转储文件的错误而死在您身上，如果您安装了调试器，您可以为开发人员提供很多帮助。可以通过使用调试器（在本例中为“gdb”）、wireshark 二进制文件和生成的核心文件来获取堆栈跟踪。下面是如何使用 gdb 命令“backtrace”来执行此操作的示例。

$ gdb wireshark core

(gdb) backtrace

..... prints the stack trace

(gdb) quit

$

在某些平台（例如，BSD 系统）上，核心转储文件可能被命名为“wireshark.core”而不是“core”。如果您使用 TShark 而不是 Wireshark 获得核心转储，请使用“tshark”作为调试器的第一个参数；核心转储可以命名为“tshark.core”。

Wireshark抓不到包

背景描述 ：最近在进行带有网口功能的FPGA编程，数据包的封装过程由FPGA完成，FPGA通过10G网线与一台服务器相连。在调试过程中，通过服务器上的Wireshark抓包来看包的内容是否正确。

问题描述： 可以确定数据包已被发送方发出，而接收方的Wireshark无法抓取到数据包

解决方法：

1、如果所发包的目的地址不是接收方的IP，那么需要开启混杂模式。通过下图的流程开启混杂模式即可：

点击设置按钮：

勾选开启混杂模式：

2、确保数据包的正确

首先需要知道的是，Wireshark可以接收到IP头和UDP头的校验和错误的数据包。但是并不是说数据包头随便写都能被Wireshark抓到。

网卡检查以太网帧并解开帧头、帧尾，再向上层递交数据包。如果以太网帧的前导码、长度、CRC校验出错都会导致网卡丢帧。

其中前导码即为7字节0x55和1字节d5构成；CRC校验采取CRC-32的校验方式；以太网帧长并没有显式的表示，但是在以太网帧的开头和结尾都各有一字节的0xfb，其间的长度即为以太网帧长。

我没有收到包的原因即是数据帧长错误，在IP头中有一个字段用于表示整个包的长度（IP头及IP数据），而以太网帧头为固定14字节，所以说数据帧长需要与IP头数据长度和UDP头数据长度对应。

总的来说，当包的结构正确时，网卡或者Wireshark可以正确解析出每一个字段的意义，所以当可以确定发送方已发出包，而接收方没有收到时，需要确认一下数据包每个字段的内容是否正确。

Wireshark便携版特色

wireshark软件含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;

Wireshark更支持上百种协议和媒体类型;

拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本;

在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件;

Ethereal的出现改变了这一切;

在GNU GPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其程式码，并拥有针对其原始码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。