Wireshark 网络分析器 v4.42 绿色便携中文版 64位

Wireshark(网络过滤抓包工具)是一款免费开源的网络嗅探抓包工具，是世界上最流行的网络协议分析器，本次带来的是由作者haochj汉化的wireshark中文版下载，支持Windows XP，需要的朋友千万不要错过哦！

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换，可以实时检测网络通讯数据，检测其抓取的网络通讯数据快照文件，通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。此外它还拥有许多强大的特性：例如包含有强显示过滤器语言和查看TCP会话重构流的能力，支持上百种协议和媒体类型。

网盘里包含：3.6.23版 、4.4.2绿色与安装版和MAC版

PS：最新版仅支持64位及以上系统，x86系统选择3.6.23版本即可。软件自带中文语言安装完整自动识别中文。

注意:如果你选择中文的话，请选择合适的字体，具体在编辑->首选项设置->用户接口->字体中设置!

ps：双击运行“WiresharkPortable.exe”时，会自动出现“WinPcap“的安装界面，请先安装WinPcap，关闭就是Wireshark软件页面了！

使用目的

Wireshark中文版中文版使用目的

以下是一些使用Wireshark中文版目的的例子：

网络管理员使用Wireshark中文版来检测网络问题，网络安全工程师使用Wireshark中文版来检查资讯安全相关问题，开发者使用Wireshark中文版来为新的通讯协定除错，普通使用者使用Wireshark中文版来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……

Wireshark中文版不是入侵侦测系统（Intrusion Detection System,IDS）。对于网络上的异常流量行为，Wireshark中文版不会产生警示或是任何提示。然而，仔细分析Wireshark中文版撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark中文版不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark中文版本身也不会送出封包至网络上。

软件说明

Wireshark抓包示例

1、下载并且安装好Wireshark后打开软件（本文以Wireshark Version 3.4.9 介绍）打开后我们可以看到，Wireshark可以自动识别出电脑上面的网卡（包括虚拟网卡），这里我们双击我们需要抓包的网卡。

2、双击进入此界面后，Wireshark已经自动开始了抓包过程，如果网卡在与其他网络设备通讯，我们就能看到如下图所示的各种网络协议报文。

3、ping www.ebyte.com

4、由于Wireshark抓取的是网卡物理层的数据，所以所有通过该网卡收发的数据都会被Wireshark抓取，这就让我们从海量数据中找到我们需要关注的网络包就如同大海捞针，但是Wireshark提供了强大的数据包过滤功能，我们就能比较轻松地找到对应的包。比如上面我已经ping了我司官网，现在Wireshark已经抓取了两万多条报文，只要通过在过滤器输入”ip.addr == 101.37.40.78 && icmp“就能找到对应的报文。

TCP报文抓包分析示例

1、开启Wireshark的抓包功能后，通过电脑连接到本地搭建的回显服务器，电脑上面的客服端发送了一段数据到服务器，服务器回传到电脑上的客户端。

2、此时我们在Wireshark的过滤栏中输入“ip.addr == 192.168.3.6”就能过滤出网络报文中基于IP协议簇，且IP地址（源地址或目标地址）为192.168.3.6的网络报文。如下图所示：

Wireshark在封包展示界面中根据网络协议模型，展示出了各层协议的重要信息如下图所示：

Frame:表示物理层

Ethernet II :数据链路层信息，包括源主机MAC，目标主机MAC与协议类型如IPV4(0x0800)

Internet Protocol Version 4:IP协议帧信息，包括源主机IP地址，目标主机IP地址等

Transmission Control Protocol:TCP协议相关信息，包括源端口与目标端口号，接收窗口大小等

3、TCP握手过程

Wireshark常用过滤器设置

1、Wireshark中的逻辑运算符

1.1比较运算符如：== （等于）、！=（不等于） 、>（大于） 、<（小于） 、>=（大于等于） 、<=（小于等于）

ip.src == 192.168.3.6 过滤源主机IP地址或者目标主机IP地址为192.168.3.6的报文

1.2逻辑运算符如：&&（与）、||（或）、！（非）

ip.src == 192.168.3.6 && && tcp.srcport == 8001,则只显示报文源主机地址为192.168.3.6且源端口为为8001的报文

2、协议过滤

根据网络协议过滤报文，即在抓包过滤框中输入协议相关字段即可，包括”TCP”,”UDP””HTTP””ICMP”等。

3、MAC地址过滤

eth.addr == 38:3b:26:88:02:dd 过滤源主机MAC地址或者目标主机MAC地址为38:3b:26:88:02:dd的报文

eth.src== 38:3b:26:88:02:dd 过滤源主机MAC地址为38:3b:26:88:02:dd的报文

4、ip地址过滤

Ip.addr == 192.168.3.6 过滤源主机IP地址或者目标主机IP地址为192.168.3.6的报文

Ip.src== 192.168.3.6 过滤源主机IP地址为192.168.3.6的报文

ip.dst == 192.168.3.240 过滤目标主机IP地址为192.168.3.240的报文

5、端口过滤

tcp.port==80 过滤基于TCP协议且目标端口号或源端口号为80的报文

udp.srcport == 8001 过滤基于UDP协议且端口号为8001的报文

tcp.dstport == 8001 过滤基于TCP协议且目标端口号为8001的报文

6、Http模式过滤

http.request.method=="GET", 过滤基于http协议且http请求方式为”GET”的报文

工作流程

1.确定Wireshark中文版的位置

如果没有一个正确的位置，启动Wireshark中文版后会花费很长的时间捕获一些与自己无关的数据。

2.选择捕获接口

一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

3.使用捕获过滤器

通过在Wireshark中文版设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

4.使用显示过滤器

通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

5.使用着色规则

通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

6.构建图表

如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

7.重组数据

Wireshark中文版的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

软件特色

Wireshark捕获工具具有许多强大的功能。

包括丰富的显示过滤器语言和查看TCP会话重建流的功能。

它还支持数百种协议和媒体类型。

有一个称为tethereal的命令行版本，类似于tcpdump（Linux上的网络协议分析工具）。

过去，网络数据包分析软件要么非常昂贵，要么专门为使用而设计。

随着Ethereal的出现，一切都发生了变化。

在GNU GPL通用许可的保护下，您可以免费获得该软件及其代码，并有权修改和自定义源代码。 Ethereal是世界上使用最广泛的网络数据包分析软件之一。

功能介绍

1、软件提供了强显示过滤器语言。

2、软件提供了查看tcp会话重构流的功能。

3、软件支持上百种协议和媒体类型。

4、拥有一个类似tcpdump的名为tethereal的的命令行版本。

5、拥有针对其原始码修改及客制化的权利。

使用说明

1、确定Wireshark的位置，如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。

2、选择捕获接口，一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

3、使用捕获过滤器，通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

4、使用显示过滤器，通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

5、使用着色规则，通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

6、构建图表，如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

7、重组数据.Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

更新日志

什么是Wireshark？

Wireshark是世界上最受欢迎的网络协议分析器。它用于故障排除，分析，开发和教育。

什么是新的

Bug修复

已修复以下漏洞：

wnpa-sec-2021-04 MS-WSP消除了过多的内存消耗。问题17331。

已修复以下错误：

TShark不打印GeoIP信息发行14691。

传递到“ head”的问题16192时出现TShark错误。

“数据包字节”窗格中的部分ASCII表示缺少问题17087。

Buildbot崩溃输出：fuzz-2021-02-22-1012761.pcap问题17254。

未剖析NAN数据包的NDPE属性，发行号17278。

TECMP：保留标志解释为时间戳问题17279的一部分。

Master分支至少不与gcc-11问题17281一起编译。

DNS IXFR / AXFR多重响应问题17293。

文件太大问题17301。

构建因CMake 3.20问题17314而失败。

新增功能和更新功能

新协议支持

此版本中没有新协议。

更新了协议支持

DECT，DNS，EAP，Kerberos，LDAP，MS-WSP，SMB2，Sysdig，TECMP和WiFi NAN

新增和更新的捕获文件支持

pcapng

更新日志

Wireshark可解析进程信息、数据包元数据、流标识符、丢包信息及其他由内核提供的监控数据。tcpdump在macOS上。

以下功能为新增功能，或自版本4.4.0以来进行了重大更新：

Windows安装程序现在附带Npcap 1.83版本，此前使用的是Npcap 1.79版本。

Windows和macOS安装程序现已内置Qt 6.9.3版本（此前为Qt 6.5.3版本）。

我们现在提供通用的macOS安装包，不再分别提供Arm64和Intel架构的独立安装包。问题17294

WinPcap已不再受支持。在Windows系统上，请改用Npcap，必要时卸载WinPcap。 WinPcap的最终版本是2013年发布的4.1.3版。 它仅支持到Windows 8系统，而该操作系统已不再获得微软或Wireshark的官方支持。

新增了一个“绘图”对话框，与提供直方图的“I/O图表”对话框不同，该对话框提供散点图。绘图对话框窗口支持多图绘制、标记功能及自动滚动。

实时捕获的数据在写入时即可压缩（此前仅支持多文件捕获时的文件轮换期间压缩）。--compressTShark中的选项同样适用于实时捕获。问题9311

绝对时间字段，无论数据包详情中如何显示，使用-T json选项时始终以UTC时区的ISO 8601格式写入。自4.2.0版本起，-T ek选项就已采用此格式。JSON主要是由软件读取的数据交换格式，因此采用标准格式更为理想。

当绝对时间字段通过-T字段输出、-T pdml的"show"字段或在自定义列（包括列的CSV输出）中时，类似asctime的格式（例如Dec 18, 2017 05:28:39.071704055 EST）已被弃用，改用ISO 8601格式。为了向后兼容，添加了一个首选项protocols.display_abs_time_ascii，可以设置为继续使用之前的格式。该首选项也可以设置为从不使用ASCII时间，并在协议树（数据包详情）中使用ISO 8601时间格式。同样地，未来的版本可能会完全移除ascitime风格的格式设置。

UTC时间列的格式（当选择UTC时间显示格式时，包括“时间（按指定格式显示）”）根据ISO 8601标准带有“Z”后缀。 本地时间格式则无后缀（即使本地时区是UTC）。 显示FT_ABSOLUTE_TIME的自定义列已包含时区标识。

TShark-G生成词汇表报告的选项不再需要作为命令行中的首个选项。此外，报告现在会受到其他命令行选项的影响，例如-o, -d，并且--disable-protocol除此之外，-C已经支持的选项。defaultprefs报告不受任何其他选项的影响。） 作为这一变更的一部分，-G不带参数的用法已被弃用，不再支持。请改用tshark -G fields生成相同的报告。 此外，仅列出具有特定前缀字段的语法已更改为tshark -G fields,prefix.

在数据包匹配时，EUI-64字段的基础类型已改为字节类型，这与大多数其他地址格式类似。这意味着EUI-64地址可进行切片操作，并能与其他字节类型（例如过滤器）进行比较。wpan.src64[:3] == eth.src[:3]虽然字段仍可使用64位无符号整数字面量来指定，但不再支持与其他整数进行算术运算。

Wireshark现已支持通过NTS（网络时间安全协议）解密NTP数据包。解密需满足以下条件：捕获数据中需包含NTS-KE（网络时间安全密钥建立协议）数据包，同时需提供TLS客户端及导出密钥。此外，系统会对NTP数据包中可进行密码学验证的部分（从NTP包头开始，直至NTS认证域与加密扩展域之前的最后一个扩展域结束）进行有效性校验。

Wireshark解密MACsec数据包的功能已扩展为可选用MKA解析器解封的SAK，或MACsec解析器中配置的PSK。若需MKA解析器解封SAK，可在其首选项的扩展CKN/CAK信息用户属性表中输入对应CKN的CAK。同时，MACsec解析器通过PSK解密数据包的能力现已支持多PSK列表，用户可通过新增属性表录入这些密钥。

TCP流图坐标轴现在采用带国际单位制前缀的单位。问题20197

自定义列可以选择以与数据包详情相同的格式显示数值。

自定义列的复杂表达式（如包含算术、筛选函数等并返回数值结果的）将按数值而非字典顺序进行排序。

显示筛选功能float而double添加这些功能是为了允许将整数和时间等字段类型显式转换为单精度和双精度浮点数。它们可用于对不同类型的字段执行进一步的算术运算，包括在自定义列定义中进行操作。

I/O图表对话框的最小宽度已减小，因此它应能在低分辨率桌面上更好地显示，尤其是在某些语言环境下。为实现此调整，部分复选框控件已移至图表的右键上下文菜单中。问题20147

TLS等场景中使用的X.509证书可通过文件 › 导出对象Wireshark 菜单中（名为“X509AF”）--export-objects在TShark中（使用协议名称x509af.)

Zstandard内容编码在HTTP和HTTP/2解析器中受支持。

跟随流功能支持MPEG-2传输流PID，以及封装在MPEG-2传输流中的分组化基本流。后者可用于提取音频或视频，以便使用其他工具进行播放。

DNP 3（分布式网络协议3）现已支持在会话和端点表对话框中使用。

Lua提供的预加载库bit和rex_pcre2以某种方式加载它们，从而将其添加至package.loaded桌子，仿佛穿过require以便require("bit")和require("rex_pcre2")Lua解析器中的return语句通常多余，但仍按预期执行。问题20213

数据包列表（Wireshark）和事件列表（Stratoshark）不再支持多行显示的行项。问题14424

这个以太币文件也可包含EUI-64到名称的映射关系。问题15487

Wireshark的"从十六进制转储导入"功能及text2pcap工具现支持2至4字节的字节组（可选小端字节序），并支持带十六进制偏移量的输入。0x或0X前缀（由...产生）tcpdump -x等等）。问题16193

帧时间戳可以在Wireshark中通过"打印"和"导出数据包解析"对话框添加到十六进制转储的前导部分，在TShark中也可通过相应选项实现。--hexdump time选项问题17132

Lua现在有了Conversation对象，用于向Lua公开对话及对话数据。问题15396

安编辑 › 复制 › 作为HTML菜单项已添加，同时包含相关上下文菜单项和键盘快捷键功能。该选项提供（通过偏好设置中的旋钮调节）复制纯文本并保持列对齐的功能，并支持在通过键盘快捷键复制时选择使用的复制格式。

tshark自2.6.0版本起支持的"无重复键"JSON输出格式可通过图形界面中的"导出解析结果"对话框获取。需要注意的是，若具有相同键名的兄弟节点非连续排列，此格式不一定能完全保留树结构中所有子元素的原始顺序。

GUI导出解析对话框可输出帧数据的原始十六进制字节，无论是否导出字段值均可实现，其格式分别对应于TShark的“-T json -x”和“-T jsonraw”输出模式。

The Conversations and Endpoints dialogs have an option to display byte counts and bit rates in exact counts instead of human-readable numbers with SI units. The default setting when opening a dialog is controlled by a Statistics preference, "conv.machine_readable". The same preference controls whether precise byte counts are used in the TShark "-z conv" and "-z endpoints" taps.
对话和端点对话框提供选项，可显示精确的字节计数与比特率，而非采用国际单位制的人类可读数值。对话框打开时的默认设置由统计首选项"conv.machine_readable"控制。该首选项同样控制TShark中"-z conv"与"-z endpoints"输出是否使用精确字节计数。

部分TShark统计工具（通过"-z <tap>,tree"选中的、使用stats_tree系统的工具）的输出格式可通过偏好设置"-o statistics.output_format"进行控制。
若Wireshark采用Qt 6.8或更高版本构建（如官方安装程序所示），其配色方案可独立于Windows与macOS当前系统默认设置，单独设为浅色或深色模式。问题19328

libxml2 现已成为必备依赖项。 请注意，Wireshark 无法与 libxml2 2.15.0 版本兼容构建，但其他版本应可正常使用。

这个查看菜单提供手动重新解析数据包的选项，当地址解析或解密密钥发生变化时，此功能非常实用。

5G基于服务的接口上3GPP会话的HTTP2追踪现为可选功能。启用后，系统将在确认为会话所属的HTTP2流中添加"关联IMSI"字段。

在Windows上构建文档不再需要Java。

在Linux系统中，使用BPF扩展（如"inbound"、"outbound"和"ifindex"）的捕获过滤器可用于抓包（并通过编译过滤器对话框进行编译）。这些语法不会被语法检查器始终拒绝，而是会被标记为未知状态。

移除的功能和支持

Wireshark 不再支持 AirPcap 和 WinPcap。

Wireshark 不再支持 libnl 1.x 或 2.x 版本。

这个ENABLE_STATICCMake选项已被弃用，转而采用BUILD_SHARED_LIBS