在实际排障和安全分析中,Wireshark 的价值是把复杂流量拆清楚,而不是简单地“把流量抓下来”。在 云栈社区 的技术讨论里,不少同行也深有感触:
- 定位访问慢的问题,就要会看时间差;
- 分析 TCP 是否异常,不能只看编号,还要结合 Seq、Ack、重传、乱序等信息;
- 把问题报文发给同事复盘,也要知道怎么只导出过滤后的数据包。
本篇内容整理了 Wireshark 里最常用、也最适合入门阶段练习的 8 个技巧:数据包过滤、时间显示、报文顺序判断、过滤结果保存、数据包统计、数据包解码、TCP 报文跟踪,以及通过 MAC/OUI 查看设备厂家。
在网工、运维、网安这三个方向上,Wireshark 都有不同的作用:
- 对网工来说,抓包可以更快定位链路、访问、DNS、TCP、应用响应等问题;
- 对运维来说,它能补上服务访问和网络连接层面的分析能力;
- 对网安来说,Wireshark 是进入流量分析、安全排查、应急响应和蓝队工作的基础工具之一。
总览:八大技巧一览
1. 数据包过滤:先筛出目标报文
在 Wireshark 顶部过滤栏输入 ip.addr == 192.168.1.10 && tcp.port == 443,可以快速筛选出匹配的 HTTPS 报文,只显示目标流量。按协议、IP、端口逐步缩小范围,过滤结果越精准,定位问题越快。
2. 分清显示过滤与捕获过滤
Capture Filter(抓包前)与 Display Filter(抓包后)的语法不同,千万不要混用。常用显示过滤示例:tcp.port == 443、dns、http.request;捕获过滤示例:host 192.168.1.10、tcp port 80。记牢“先抓得准,再筛得快”。
3. 按协议层看包:解码思路更清晰
抓包时常看的四层:链路层(Ethernet/VLAN,看 MAC、VLAN 标签)、网络层(IP,看源/目的 IP、TTL、分片)、传输层(TCP/UDP,看端口、Flags、重传、窗口)、应用层(DNS/HTTP/TLS,看域名、状态码、证书)。实用顺序:先看最可疑的一层,再顺着上下层交叉验证。
4. TCP 会话关键信号:连不通、卡顿、超时的排查线索
TCP 连接生命周期中,这五个信号最值得看:三次握手(SYN/SYN-ACK/ACK)、RST(连接被拒绝/异常中断)、Retransmission(重传增多,常因丢包或链路不稳)、Zero Window(接收端窗口变为 0)、FIN(正常关闭)。结合 RTT 和 Dup ACK,先看能否建立,再看有无中断,最后检查性能异常。
5. TCP 报文跟踪与设备厂家识别
通过 TCP 报文跟踪 (右键目标报文 → Follow → TCP Stream),可以重组一个会话的完整收发内容,非常适合分析 HTTP、明文协议和请求响应过程。即使流量加密,也能看到加密后的字节。同时,从 Ethernet 字段的源/目的 MAC 地址前 24 位(OUI)可映射到厂商信息,在 Statistics → Endpoints 中也能查看活跃 MAC 及其厂家。不过随机 MAC 或虚拟网卡可能导致识别不准。
6. 数据包统计:从整体分布到时间趋势
Statistics 菜单是统计入口。
- Protocol Hierarchy:协议分布饼图,快速判断主流量类型(如 TCP 54.8%、HTTP 18.7%)。
- Conversations:找出最活跃的通信对(按报文数/字节数)。
- Endpoints:按 IP、MAC、端口统计,定位突峰主机。
- I/O Graphs:流量报文数随时间变化的曲线,识别突发峰值和异常波动。
推荐思路:先看总量与协议分布,再看谁和谁通信最多,最后看时间趋势有没有异常变化。
7. 过滤结果的保存导出
先用显示过滤器(如 tcp.port == 443)确保列表里只剩目标报文;然后通过 File → Export Specified Packets,在 Packet Range 中选择 “Displayed”;最后保存为 .pcapng 文件(如 filtered_result.pcapng)。这样既能精简文件、方便留证复盘,又不会影响原始抓包数据。导出前务必确认筛选条件正确,避免遗漏关键上下文。 | 
发表于 2 小时前
|
查看: 5|
回复: 0
