Wireshark 使用详解

区域名称

功能描述

捕获接口区

显示当前主机的所有网络接口（如以太网、Wi-Fi、虚拟网卡），选择接口即可开始抓包

数据包列表区

显示捕获到的所有数据包，每行一条，包含编号、时间戳、源地址、目的地址、协议、长度、信息

数据包详情区

选中某数据包后，展示其分层协议结构（如物理层→数据链路层→网络层→传输层→应用层）

数据包字节区

以十六进制和 ASCII 码形式显示数据包的原始字节内容，与详情区一一对应

规则示例

含义

host 192.168.1.1

只捕获源或目的地址为 192.168.1.1 的数据包

src host 192.168.1.1

只捕获源地址为 192.168.1.1 的数据包

dst host 192.168.1.1

只捕获目的地址为 192.168.1.1 的数据包

port 80

只捕获端口为 80 的 TCP/UDP 数据包

tcp port 80

只捕获 TCP 协议的 80 端口数据包（HTTP 协议）

udp port 53

只捕获 UDP 协议的 53 端口数据包（DNS 协议）

not arp

排除 ARP 协议的数据包

tcp and port 443

捕获 TCP 协议且端口为 443 的数据包（HTTPS 协议）

规则示例

含义

ip.addr == 192.168.1.1

显示源或目的 IP 为 192.168.1.1 的数据包

ip.src == 192.168.1.1

显示源 IP 为 192.168.1.1 的数据包

ip.dst == 192.168.1.1

显示目的 IP 为 192.168.1.1 的数据包

tcp.port == 80

显示 TCP 源或目的端口为 80 的数据包

tcp.srcport == 80

显示 TCP 源端口为 80 的数据包

http

显示所有 HTTP 协议的数据包

dns

显示所有 DNS 协议的数据包

tcp.flags.syn == 1

显示 TCP 握手的 SYN 包（连接建立第一步）

tcp.flags.fin == 1

显示 TCP 挥手的 FIN 包（连接关闭第一步）

frame.len > 1000

显示数据包长度大于 1000 字节的帧

ip.addr == 192.168.1.1 && tcp.port == 80 # 显示192.168.1.1的HTTP数据包

http || dns # 显示HTTP或DNS数据包

!arp # 排除ARP数据包