Wireshark 网络分析器 v4.6.1 绿色便携中文版 64位

Wireshark(网络过滤抓包工具)是一款免费开源的网络嗅探抓包工具，是世界上最流行的网络协议分析器，本次带来的是由作者haochj汉化的wireshark中文版下载，支持Windows XP，需要的朋友千万不要错过哦！

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换，可以实时检测网络通讯数据，检测其抓取的网络通讯数据快照文件，通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。此外它还拥有许多强大的特性：例如包含有强显示过滤器语言和查看TCP会话重构流的能力，支持上百种协议和媒体类型。

网盘里包含：3.6.23版 、4.4.2绿色与安装版和MAC版

PS：最新版仅支持64位及以上系统，x86系统选择3.6.23版本即可。软件自带中文语言安装完整自动识别中文。

注意:如果你选择中文的话，请选择合适的字体，具体在编辑->首选项设置->用户接口->字体中设置!

ps：双击运行“WiresharkPortable.exe”时，会自动出现“WinPcap“的安装界面，请先安装WinPcap，关闭就是Wireshark软件页面了！

使用目的

Wireshark中文版中文版使用目的

以下是一些使用Wireshark中文版目的的例子：

网络管理员使用Wireshark中文版来检测网络问题，网络安全工程师使用Wireshark中文版来检查资讯安全相关问题，开发者使用Wireshark中文版来为新的通讯协定除错，普通使用者使用Wireshark中文版来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……

Wireshark中文版不是入侵侦测系统（Intrusion Detection System,IDS）。对于网络上的异常流量行为，Wireshark中文版不会产生警示或是任何提示。然而，仔细分析Wireshark中文版撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark中文版不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark中文版本身也不会送出封包至网络上。

软件说明

Wireshark抓包示例

1、下载并且安装好Wireshark后打开软件（本文以Wireshark Version 3.4.9 介绍）打开后我们可以看到，Wireshark可以自动识别出电脑上面的网卡（包括虚拟网卡），这里我们双击我们需要抓包的网卡。

2、双击进入此界面后，Wireshark已经自动开始了抓包过程，如果网卡在与其他网络设备通讯，我们就能看到如下图所示的各种网络协议报文。

3、ping www.ebyte.com

4、由于Wireshark抓取的是网卡物理层的数据，所以所有通过该网卡收发的数据都会被Wireshark抓取，这就让我们从海量数据中找到我们需要关注的网络包就如同大海捞针，但是Wireshark提供了强大的数据包过滤功能，我们就能比较轻松地找到对应的包。比如上面我已经ping了我司官网，现在Wireshark已经抓取了两万多条报文，只要通过在过滤器输入”ip.addr == 101.37.40.78 && icmp“就能找到对应的报文。

TCP报文抓包分析示例

1、开启Wireshark的抓包功能后，通过电脑连接到本地搭建的回显服务器，电脑上面的客服端发送了一段数据到服务器，服务器回传到电脑上的客户端。

2、此时我们在Wireshark的过滤栏中输入“ip.addr == 192.168.3.6”就能过滤出网络报文中基于IP协议簇，且IP地址（源地址或目标地址）为192.168.3.6的网络报文。如下图所示：

Wireshark在封包展示界面中根据网络协议模型，展示出了各层协议的重要信息如下图所示：

Frame:表示物理层

Ethernet II :数据链路层信息，包括源主机MAC，目标主机MAC与协议类型如IPV4(0x0800)

Internet Protocol Version 4:IP协议帧信息，包括源主机IP地址，目标主机IP地址等

Transmission Control Protocol:TCP协议相关信息，包括源端口与目标端口号，接收窗口大小等

3、TCP握手过程

Wireshark常用过滤器设置

1、Wireshark中的逻辑运算符

1.1比较运算符如：== （等于）、！=（不等于） 、>（大于） 、<（小于） 、>=（大于等于） 、<=（小于等于）

ip.src == 192.168.3.6 过滤源主机IP地址或者目标主机IP地址为192.168.3.6的报文

1.2逻辑运算符如：&&（与）、||（或）、！（非）

ip.src == 192.168.3.6 && && tcp.srcport == 8001,则只显示报文源主机地址为192.168.3.6且源端口为为8001的报文

2、协议过滤

根据网络协议过滤报文，即在抓包过滤框中输入协议相关字段即可，包括”TCP”,”UDP””HTTP””ICMP”等。

3、MAC地址过滤

eth.addr == 38:3b:26:88:02:dd 过滤源主机MAC地址或者目标主机MAC地址为38:3b:26:88:02:dd的报文

eth.src== 38:3b:26:88:02:dd 过滤源主机MAC地址为38:3b:26:88:02:dd的报文

4、ip地址过滤

Ip.addr == 192.168.3.6 过滤源主机IP地址或者目标主机IP地址为192.168.3.6的报文

Ip.src== 192.168.3.6 过滤源主机IP地址为192.168.3.6的报文

ip.dst == 192.168.3.240 过滤目标主机IP地址为192.168.3.240的报文

5、端口过滤

tcp.port==80 过滤基于TCP协议且目标端口号或源端口号为80的报文

udp.srcport == 8001 过滤基于UDP协议且端口号为8001的报文

tcp.dstport == 8001 过滤基于TCP协议且目标端口号为8001的报文

6、Http模式过滤

http.request.method=="GET", 过滤基于http协议且http请求方式为”GET”的报文

工作流程

1.确定Wireshark中文版的位置

如果没有一个正确的位置，启动Wireshark中文版后会花费很长的时间捕获一些与自己无关的数据。

2.选择捕获接口

一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

3.使用捕获过滤器

通过在Wireshark中文版设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

4.使用显示过滤器

通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

5.使用着色规则

通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

6.构建图表

如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

7.重组数据

Wireshark中文版的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

软件特色

Wireshark捕获工具具有许多强大的功能。

包括丰富的显示过滤器语言和查看TCP会话重建流的功能。

它还支持数百种协议和媒体类型。

有一个称为tethereal的命令行版本，类似于tcpdump（Linux上的网络协议分析工具）。

过去，网络数据包分析软件要么非常昂贵，要么专门为使用而设计。

随着Ethereal的出现，一切都发生了变化。

在GNU GPL通用许可的保护下，您可以免费获得该软件及其代码，并有权修改和自定义源代码。 Ethereal是世界上使用最广泛的网络数据包分析软件之一。

功能介绍

1、软件提供了强显示过滤器语言。

2、软件提供了查看tcp会话重构流的功能。

3、软件支持上百种协议和媒体类型。

4、拥有一个类似tcpdump的名为tethereal的的命令行版本。

5、拥有针对其原始码修改及客制化的权利。

使用说明

1、确定Wireshark的位置，如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。

2、选择捕获接口，一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。

3、使用捕获过滤器，通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。

4、使用显示过滤器，通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。

5、使用着色规则，通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。

6、构建图表，如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的形式可以很方便的展现数据分布情况。

7、重组数据.Wireshark的重组功能，可以重组一个会话中不同数据包的信息，或者是一个重组一个完整的图片或文件。由于传输的文件往往较大，所以信息分布在多个数据包中。为了能够查看到整个图片或文件，这时候就需要使用重组数据的方法来实现。

更新日志

Bug修复

wnpa-sec-2025-05BPv7解析器崩溃。问题 20770.

wnpa-sec-2025-06Kafka解析器崩溃。问题 20823.

已修复以下错误：

L2CAP解析器无法理解重传模式。问题 2241.

DNS HIP解析器将PK算法标记为HIT长度。问题 20768.

clang-cl错误在"packet-zbee-direct.c"问题 20776.

写入LZ4压缩输出文件可能会失败。问题 20779.

endian.h与libc在构建插件时存在冲突。Issue 20786.

TShark崩溃由Lua插件引起。Issue 20794.

Wireshark 在选择特定消息时会停顿几秒钟。Issue 20797.

TLS使用新会话票据的缩写握手。Issue 20802.

自定义WebSocket解析器不运行。Issue 20803.

WINREG QueryValue扳机触发packet-dcerpc.c中的解析器漏洞。Issue 20813.

Lua：FileHandler 在读取 packets 时导致崩溃。Issue 20817.

对字段应用FT_NONE和BASE_NONE的过滤器处理单个字节时，不使用十六进制值。Issue 20818.

布局偏好面板3在选择“数据包图”或“无”时出现问题。Issue 20819.

TCP解析器生成无效的数据包图。问题 20820.

打开为文件格式时嵌套的VLAN标签过多。问题 20831.

Omnipeek 文件在 4.6.0 版本中无法使用。问题 20842.

在IsoBus解析器中支持UTF-16字符串以进行字符串操作。Issue 20845.

SNMP getBulkRequest任务中的request-id未能正确过滤。Issue 20849.

模糊任务问题：fuzz-2025-11-12-12064814316.pcapIssue 20852.

UDP端口853（DoQ）应解码为QUIC。问题 20856.

新协议支持

此版本中没有新协议。

更新协议支持

802.11 Radiotap、AC DR、ASN.1 BER、ASN.1 PER、BPv7、BT L2CAP、CFM、Darwin、DNS、DTLS、EAPOL-MKA、HTTP、HTTP3、ISObus VT、KRB5、LTP、NAS-EPS、NETDFS、NMEA 0183、P1、RPC_NETLOGON、RTSE、SGP.22、SGP.32、SMB、SNMP、TCP、TECMP、TFTP、VLAN、WINREG、X509AF、X509SAT和ZBD

新的和更新的捕获文件支持

Peektagged

新增及更新的文件格式解码支持

此版本中未新增或更新文件格式支持。