Wireshark

Wireshark

全球最流行的开源网络协议分析器,深入洞察每一个数据包

开发者Wireshark Foundation
许可证GPL-2.0-or-later
平台Windows / macOS / Linux
版本4.6.x
费用免费
官网www.wireshark.org
GitHubgithub.com

特性

深度数据包检查:支持 1000+ 协议解码实时抓包与离线分析:支持多种抓包格式强大的过滤器:BPF 语法精确筛选数据统计与图表:流量分析、可视化图表跨平台支持:Windows/macOS/Linux 全覆盖活跃社区:持续更新,支持所有主流协议

替代方案

tcpdumpFiddler

Wireshark:深入网络数据包的「透视眼」

发表于

Wireshark:深入网络数据包的「透视眼」

当网络出了问题,你是凭经验猜测,还是能看到每一个数据包的「前世今生」?Wireshark 让后者成为可能——它是网络分析领域的瑞士军刀,无论是排查故障、调试协议,还是做安全分析,它都是首选工具。

概述

Wireshark 是由 Wireshark Foundation 维护的开源网络协议分析器,最初诞生于 1998 年(前身叫 Ethereal)。它的核心功能是捕获网络数据包,并将其解码成人类可读的形式

2025 年 10 月,Wireshark 发布了 4.6.0 重大更新,带来了众多新特性。目前最新稳定版为 4.6.x 系列。

Wireshark 支持解析 1000+ 种网络协议,涵盖从最底层的以太网帧到最高层的应用层协议,是网络工程师、安全研究员、开发者必备的工具。

主要特性

🔍 深度数据包检查

Wireshark 的核心能力是协议解码

  • 逐层解析:显示数据包从物理层到应用层的完整结构
  • 协议覆盖:HTTP、DNS、TCP、UDP、TLS、SSH、QUIC 等主流协议全部支持
  • 细节展示:每个字段的十六进制值、含义、标志位一一对应

当你排查「为什么这个请求失败了」,Wireshark 能直接告诉你:是 TCP 三次握手没完成,还是 TLS 握手失败,还是应用层返回了错误码。

📡 实时抓包与离线分析

Wireshark 支持两种工作模式:

模式 适用场景
实时抓包 网络故障排查、实时流量监控
离线分析 导入已有的 pcap 文件,详细分析历史流量

支持导入 tcpdump、snoop 等多种格式的抓包文件。

🎯 强大的过滤器

Wireshark 提供两套过滤器:

抓包过滤器(BPF):在捕获阶段就过滤数据,适合高流量场景

1
host 192.168.1.100 and port 80

显示过滤器:在已抓取的数据中筛选,适合精细分析

1
tcp.flags.syn == 1 and tcp.flags.ack == 0

显示过滤器支持协议字段级别的精确筛选,几乎可以找到任何你需要的数据。

📊 统计与图表

Wireshark 内置丰富的统计分析功能:

  • 协议层次统计:各协议占总流量的比例
  • 会话列表:通信双方、流量大小、持续时间
  • I/O 图表:可视化流量随时间的变化
  • Expert Information:自动标注异常信息(如重传、丢失、错误)

4.6.0 版本新增了 Plots 对话框,取代旧的 I/O Graphs,提供散点图、多视图、自动滚动等增强功能。

🖥️ 跨平台支持

Wireshark 在三大平台都有原生版本:

  • Windows:需要 Npcap 驱动(4.6.0 使用 Npcap 1.83)
  • macOS:通用包,同时支持 Intel 和 Apple Silicon
  • Linux:通过包管理器直接安装

⚠️ 注意:4.6.0 移除了对旧驱动 WinPcap 和 AirPcap 的支持,请确保更新到 Npcap。

🛡️ 安全分析能力

Wireshark 是安全从业者的必备工具:

  • TLS 解密:配合密钥可查看 HTTPS 内容
  • NTP 协议解密:4.6.0 新增 Network Time Security 解密支持
  • MACsec 解密:支持通过 MKA 或预共享密钥解密
  • 异常检测:自动标注可疑模式、重传、未加密的敏感数据

⏱️ 时间戳增强(4.6.0 新功能)

4.6.0 版本改进了时间戳处理:

  • JSON 等机器可读输出中的时间戳现在统一使用 ISO 8601 UTC 格式
  • 避免跨时区分析时的时间混乱
  • 自定义列现在可以显示与数据包详情窗格相同的格式
  • 数值列现在按数值排序,而非字母排序

适用场景

适合使用 Wireshark 的用户

  • 网络工程师:排查网络故障、分析流量模式
  • 安全研究员:分析攻击流量、取证调查
  • 后端开发者:调试 API、排查连接问题
  • 渗透测试师:了解目标网络流量特征

不适合的场景

  • 纯新手:界面复杂,学习曲线较陡
  • 只需快速抓包:命令行工具 tcpdump 更高效
  • 生产环境大规模分析:需要专业流量分析平台

与同类软件对比

对比项 Wireshark tcpdump Fiddler
界面 GUI(强大) 命令行 GUI(仅 HTTP)
协议覆盖 ✅ 1000+ ✅ 基础解码 ⚠️ 仅 HTTP
学习曲线 ⚠️ 陡峭 ✅ 低 ✅ 低
平台 全平台 Linux/Unix Windows 为主
价格 ✅ 免费 ✅ 免费 免费+付费
离线分析 ✅ 完整 ⚠️ 有限 ⚠️ 有限
安全分析 ✅ 强大 ⚠️ 基础 ⚠️ HTTP 专用

总结

Wireshark 是网络分析的终极工具——功能强大、免费开源、持续活跃。4.6.0 版本带来的改进(实时压缩、ISO 8601 时间戳、Plots 对话框)让它变得更实用。

对于网络工程师和安全研究员,Wireshark 是必须掌握的工具。即使是开发者,了解基本的抓包分析技能也能让你更快定位问题。

记住:在网络的世界里,Wireshark 让你看见一切。