介绍：

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

安装：

• Wireshark下载

官网下载地址：https://www.wireshark.org/download.html  

• Wireshark安装 

双击下载的安装包Wireshark-win64-3.6.2.exe                                                                                                                                      
默认点击：下一步

点击Noted   

默认设置，点击：下一步            

默认设置，点击下一步                

修改安装路径，自定义，点击：下一步  

默认设置，点击：下一步           

默认设置，点击：Install

开始安装

安装过程中会提示安装Npcap，点击：I Agree

默认设置，：Install

Npcap安装完成，点击下一步

点击：下一步

点击：Finish

安装完成后会提示电脑重启，点击重启

WireShark使用：

在电脑开始栏单击启动Wireshark

选择网络接口，右击点击Start capture或者点击左上角开始捕获分组按钮

可在界面左上角点击停止捕获和重新开始捕获

报文过滤：
在抓包过滤器编辑框或应用显示过滤器编辑框中可输入命令，过滤和筛选需要的信息
不设置捕获条件，将捕获网卡所有数据包

应用显示过滤器命令语法
1)协议过滤
直接在显示过滤器输入框中输入协议名即可，注意：协议名称需要输入小写
tcp，只显示TCP协议的数据包列表
ssdp，只显示SSDP协议的数据包列表
mdns，只显示MDNS协议的数据包列表

2)ip过滤
ip.src 192.168.50.12 只显示源地址为192.168.50.12的数据包列表
ip.dst192.168.50.12, 只显示目标地址为192.168.50.12的数据包列表
ip.addr == 192.168.50.12 只显示源IP地址或目标IP地址为192.168.50.12的数据包列表

3)端口过滤
tcp.port ==80, 只显示源主机或者目的主机端口为80的数据包列表
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表
tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表

4)组合条件过滤
过滤多个条件时，使用and/or
如获取IP地址为192.168.50.136的MDNS 和 SSDP数据包表达式为
ip.addr == 192.168.50.136 and mdns or ssdp