零基础 Wireshark 使用教程（超详细实操，一看就会）

Wireshark零基础使用教程

• 一、Wireshark是什么

Wireshark是使用最广泛的一款「开源抓包软件」，常用来检测网络问题、攻击溯源、或者分析底层通信机制。

它使用WinPCAP作为接口，直接与网卡进行数据报文交换。

二、Wireshark抓包原理

Wireshark使用的环境大致分为两种，一种是电脑直连互联网的单机环境，另外一种就是应用比较多的互联网环境，也就是连接交换机的情况。

「单机情况」下，Wireshark直接抓取本机网卡的网络流量；
「交换机情况」下，Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。

• 端口镜像：利用交换机的接口，将局域网的网络流量转发到指定电脑的网卡上。
• ARP欺骗：交换机根据MAC地址转发数据，伪装其他终端的MAC地址，从而获取局域网的网络流量。

三、Wireshark安装入门。

安装完成后，我们学习一下快速抓包。

1. 选择网卡

打开 Wireshark 后，会直接进入「网卡选择界面」，WLAN 是我连接无线的网卡，我们抓一下这个网卡的流量，双击网卡名，自动开始抓包。

2. 停止抓包

点击左上角的「红色按钮」，可以停止抓包

3. 保存数据

点击右上角的「文件」，选择「保存」，可以保存抓包的数据

也可以直接点击工具栏的保存按钮

四、界面介绍

Wireshark 的主界面包含6个部分：

1. 菜单栏：用于调试、配置
2. 工具栏：常用功能的快捷方式
3. 过滤栏：指定过滤条件，过滤数据包
4. 数据包列表：核心区域，每一行就是一个数据包
5. 数据包详情：数据包的详细数据
6. 数据包字节：数据包对应的字节流，二进制

五、基础操作

接下来，我们学习一下Wireshark常用的操作。

1. 调整界面大小

工具栏中的三个「放大镜」图标，可以调整主界面数据的大小。

从左到右依次是：放大、缩小、还原默认大小。

2. 设置显示列

数据包列表是最常用的模块之一，列表中有一些默认显示的列，我们可以添加、删除、修改显示的列。

1）添加显示列

想要在数据列表中显示某一个字段，可以将这个数据字段添加至显示列中。
左键选中想要添加为列的字段，右键选择「应用为列」。

选中字段，按 Ctrl + Shift + I ，也可以实现同样的效果。

添加为列的字段会在数据列表中显示。

2）隐藏显示列

暂时不想查看的列，可以暂时隐藏起来。
在显示列的任意位置右键，取消列名的「勾选」，即可隐藏显示列。

3）删除显示列

不需要查看的字段，可以从显示列中删除。
右键需要删除的列，点击最下方的「Remove this Column」 。

注意：隐藏字段时，在列名栏的任意位置右键即可；而删除字段时，需要在指定的列名位置右键，以防误删。

3. 设置时间

数据包列表栏的时间这一列，默认显示格式看起来很不方便，我们可以调整时间的显示格式。
点击工具栏的「视图」，选择「时间显示格式」，设置你喜欢的格式。

4. 标记数据包

对于某些比较重要的数据包，可以设置成高亮显示，以达到标记的目的。
选中需要标记的数据包，右键选择最上面的「标记/取消标记」。

选中数据包，按 Ctrl + M 也可以实现同样的效果，按两次可以取消标记。

5. 导出数据包

演示快速抓包时，我们讲过保存数据包的操作，保存操作默认保存所有已经抓取的数据包。但有时候，我们只需要保存指定的数据包，这时候可以使用导出的功能。

1）导出单个数据包

选中数据包，点击左上角的「文件」，点击「导出特定分组」。

在「导出分组界面」，选择第二个 「Selected packets only」，只保存选中的数据包。

2）导出多个数据包

有时候我们需要导出多个数据包，Wireshark有一个导出标记的数据包的功能，我们将需要导出的数据包都标记起来，就可以同时导出多个数据包。

点击左上角的「文件」，点击「导出特定分组」。

在「导出分组界面」，勾选第三个 「Marked packets only」，只导出标记的数据包。

6. 开启混杂模式

局域网的所有流量都会发送给我们的电脑，默认情况下，我们的电脑只会对自己mac的流量进行解包，而丢弃其他mac的数据包。
开启混杂模式后，我们就可以解析其他mac的数据包，因此，我们使用Wireshark时，通常都会开启混杂模式。

点击菜单栏的「捕获」按钮，点击「选项」。

勾选 在所有接口上使用混杂模式。

六、过滤器操作

过滤器是Wireshark的核心功能，也是我们平时使用最多的一个功能。

Wireshark提供了两个过滤器：抓包过滤器 和 显示过滤器。两个过滤器的过滤思路不同。

1. 抓包过滤器：重点在动作，需要的包我才抓，不需要的我就不抓。
2. 显示过滤器：重点在数据的展示，包已经抓了，只是不显示出来。

1. 抓包过滤器

抓包过滤器在抓包前使用，它的过滤有一个基本的语法格式：BPF语法格式。

1）BPF语法

BPF（全称 Berkeley Packet Filter），中文叫伯克利封包过滤器，它有四个核心元素：类型、方向、协议 和 逻辑运算符。

1. 类型Type：主机（host）、网段（net）、端口（port）
2. 方向Dir：源地址（src）、目标地址（dst）
3. 协议Proto：各种网络协议，比如：tcp、udp、http
4. 逻辑运算符：与（ && ）、或（ || ）、非（ ！）

四个元素可以自由组合，比如：

• src host 192.168.31.1：抓取源IP为 192.168.31.1 的数据包
• tcp || udp：抓取 TCP 或者 UDP 协议的数据包

2）使用方式

使用抓包过滤器时，需要先停止抓包，设置完过滤规则后，再开始抓包。

停止抓包的前提下，点击工具栏的捕获按钮，点击选项。

在弹出的捕获选项界面，最下方的输入框中输入过滤语句，点击开始即可抓包。

提示：抓包过滤器的输入框，会自动检测语法，绿色代表语法正确，红色代表语法错误。

2. 显示过滤器

显示过滤器在抓包后或者抓包的过程中使用。

1）语法结构

显示过滤器的语法包含5个核心元素：IP、端口、协议、比较运算符和逻辑运算符。

1. IP地址：ip.addr、ip.src、ip.dst
2. 端口：tcp.port、tcp.srcport、tcp.dstport
3. 协议：tcp、udp、http
4. 比较运算符：> < == >= <= !=
5. 逻辑运算符：and、or、not、xor（有且仅有一个条件被满足）

5个核心元素可以自由组合，比如：

• ip.addr == 192.168.32.121：显示IP地址为 192.168.32.121 的数据包
• tcp.port == 80 ：显示端口为 80 的数据包

2）使用方式

在过滤栏输入过滤语句，修改后立即生效。

提示：过滤栏有自动纠错功能，绿色表示语法正确，红色表示语法错误。

如何系统学习网络安全/黑客？

网络安全不是「速成黑客」，而是守护数字世界的骑士修行。当你第一次用自己写的脚本检测出漏洞时，那种创造的快乐远胜于电影里的炫技。装上虚拟机，从配置第一个Linux环境开始，脚踏实地从基础命令学起，相信你一定能成为一名合格的黑客。

如果你还不知道从何开始，我自己整理的282G的网络安全教程可以分享，我也是一路自学走过来的，很清楚小白前期学习的痛楚，你要是没有方向还没有好的资源，根本学不到东西！

文章来自网上，侵权请联系博主

互动话题：如果你想学习更多网安方面的知识和工具，可以看看以下题外话！

题外话

黑客/网络安全学习路线

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

下面给大家分享一份2025最新版的网络安全学习路线资料，帮助新人小白更系统、更快速的学习黑客技术！

一、2025最新网络安全学习路线

一个明确的学习路线可以帮助新人了解从哪里开始，按照什么顺序学习，以及需要掌握哪些知识点。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

**读者福利 |**【CSDN大礼包】最新网络安全/网安技术资料包~282G！无偿分享！！！ **（安全链接，放心点击）**!

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习； 搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统； 熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

网络安全学习路线&学习资源

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：

此教程为纯技术分享！本书的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本书的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失！！！