作者:互联网 时间: 2026-07-01 09:27:53
Wireshark 是一款免费、开源、全球使用最广泛的网络协议分析工具,通俗来说就是一个"抓包软件"。它能捕获电脑网卡上经过的所有网络数据包,并以可读的方式展示每一条数据的来源、目标、协议类型和具体内容。
Wireshark 支持 Windows、macOS、Linux 和 UNIX 平台,内置了数千种协议的解析器,从最基础的 TCP、UDP、HTTP、DNS,到各种工业协议、物联网协议、VoIP 协议都能识别和解码。界面提供强大的过滤功能,让你从海量数据包中快速定位到想看的那一条。
来看看 Wireshark 和其他网络分析工具的对比:
Wireshark 当前最新稳定版是 4.6.6(2026 年 6 月发布),在解析器覆盖、暗色模式完善、抓包性能优化方面持续改进。对于普通用户来说,下载最新稳定版就够了。
Wireshark 安装包下载地址:Wireshark 下载(源自官网,放心使用)
1)双击下载的安装包启动安装程序。如果系统弹出安全风险提示,点击"运行"。安装向导显示欢迎界面,点击"Next"继续。

2)许可协议页面,直接点击"Noted":

3)直接点击“Next”:

4)选择安装组件。默认会安装 Wireshark 核心程序、TShark(命令行版)等,保持默认勾选即可。

5)建议勾选“Wireshark Deskop Icon”创建桌面快捷方式:

6)选择安装路径。默认在 C:Program FilesWireshark,我建议改到 D 盘,比如 D:Wireshark,减少系统盘占用。

7)安装 Npcap 组件,这是安装过程中最重要的一步。NPcap 是一个网络数据包抓包工具软件,是 WinPcap 的改进版,拥有更好的抓包性能,并且稳定性优异。Wireshark 需要 Npcap 来捕获网络数据包:

8)安装 USBPcap,想抓取 USB 通信数据的可以勾选上,点击 Install:

9)安装过程中,会启动 Npcap 的安装程序:

10)保持默认,点击 Install:

11)Npcap 安装完成后回到 Wireshark 安装程序,等待安装完成,点击"Finish"结束安装:

Wireshark 安装过程中会自动安装 Npcap,这是抓包必需的底层驱动组件,不要跳过或者取消。如果 Npcap 没有正确安装,Wireshark 启动后在网卡列表中看不到任何可用网卡,无法开始抓包。
Wireshark 第一次打开时的界面可能会让人有点懵,满屏的协议列表、十六进制数据、颜色标记,看起来像黑客工具。但其实它的核心使用逻辑很清晰:选择网卡开始抓包 → 看到数据包列表 → 用过滤条件缩小范围 → 双击某一条查看详情。一步步来,很快就能上手。
打开 Wireshark 后,主界面中央列出了所有可用网卡,每个网卡右边有一个折线图图标,显示实时的流量波动:

选择你要抓包的网卡(比如 Wi-Fi),双击它或者点击左上角的蓝色鲨鱼鳍图标,Wireshark 就会开始捕获该网卡上的所有数据包。抓到的包会实时显示在列表中,捕获过程会持续到手动停止。

点击红色方块的"停止捕获"按钮(或按 Ctrl E)可以停止抓包。停止后所有已抓到的数据包仍然在列表中,你可以继续分析。

如果需要保存抓包结果供以后分析,按 Ctrl S,选择保存路径和文件名,默认格式是 .pcapng。保存后可以发给同事或者换台电脑用 Wireshark 打开继续分析。
Wireshark 最核心的用法就是过滤。在顶部的过滤栏中输入过滤表达式,按 Enter 就能立即筛选出符合条件的数据包。过滤表达式支持按协议、IP 地址、端口号、数据长度等条件筛选,也支持用 and/or/not 组合多个条件。过滤栏会实时检查语法,表达式有效时显示绿色背景,无效时显示红色,不用担心输错。

以下是最常用的一批过滤表达式:
httpdnstcpudparpicmptlsdhcpip.addr eq 203.0.113.1ip.src eq 203.0.113.1ip.dst eq 203.0.113.1tcp.port eq 443tcp.port eq 80tcp.port eq 22udp.port eq 53tcp.srcport eq 8080tcp.dstport eq 8080frame.len > 1000tcp.flags.syn eq 1tcp.analysis.retransmissionhttp.requesthttp.response.code eq 404tls.handshake.type eq 1过滤表达式还支持用 and(与)、or(或)、not(非)来组合多个条件。举几个实际场景的例子:
http and ip.addr eq 203.0.113.2表示只查看某个 IP 的 HTTP 流量,适合调试特定服务器的 Web 接口。tcp.port eq 443 and not ip.addr eq 203.0.113.1 表示排除某个 IP 的 HTTPS 流量,看看其他设备在访问什么。http.request or dns 表示同时看 HTTP 请求和 DNS 查询,适合排查网页加载慢时看看是域名解析慢还是请求本身慢。掌握了这些过滤表达式,在海量数据包中快速定位目标就会轻松很多。
在数据包列表中双击任意一条数据包,左下方是协议树(显示该包的协议层级,最上面是物理层,往下是网络层、传输层、应用层),右下方是十六进制原始数据。在协议树中点击某个字段(比如 Source IP、Destination Port、HTTP Host),该字段会高亮并在十六进制区同步标记对应的字节位置。

Wireshark 是一款专业但人人可用的网络协议分析工具,下载安装包后,在 Windows 上经过简单的安装流程(包含 Npcap 驱动)就能开始抓包。
Wireshark 支持数千种协议的解析,提供丰富的过滤和统计功能,是排查网络故障、分析接口通信、学习网络协议的必备工具。不管你是网络工程师、软件开发人员还是安全研究人员,花点时间学会 Wireshark 的基本用法,在排查各种"连不上""加载慢""请求失败"的网络问题时会效率高得多。