Wireshark 是一款非常強大的 網路封包分析工具,廣泛應用於網路偵錯、學術研究、資安分析、封包學習等領域。
下面是從入門到進階的 Wireshark 教學,讓你快速上手抓包、讀懂封包、找到問題!
? Wireshark 是什麼?
Wireshark 是一款免費、開源的「網路封包分析器(Packet Sniffer)」,可以即時監聽你的網路介面,並解析各種協定(如 TCP、UDP、HTTP、DNS、SSL/TLS 等),幫助你了解網路資料來往的細節。
? 1. 安裝 Wireshark
✅ 官方網站下載:
? https://www.wireshark.org/download.html
⚠ 安裝提示:
- 安裝時會問你是否安裝 Npcap,請一定要勾選!它是抓包必需的驅動程式。
- macOS 用戶也會自動使用 Libpcap。
- 安裝完成後,開啟 Wireshark 即可。
? 2. 開始抓封包(Start Capturing)
步驟:
- 開啟 Wireshark
- 選擇你目前正在使用的網路介面(例如 Wi-Fi、Ethernet)
- 通常是「有流量在動的那個」介面
- 點右側的「開始(Shark icon)」或按快捷鍵
Ctrl + E
? 建議: 開啟抓包前先關掉不必要的程式(避免抓太多背景流量),方便分析。
? 3. 如何過濾封包?(Filter)
Wireshark 最強大的功能之一就是「封包過濾器(Display Filter)」
? 常用過濾器語法:
| 目的 | Filter 指令 |
|---|---|
| 顯示特定 IP | ip.addr == 192.168.0.1 |
| 只看 TCP 封包 | tcp |
| 只看 HTTP 流量 | http |
| 只看某個 Port | tcp.port == 443 |
| 顯示特定來源 IP | ip.src == 10.0.0.5 |
| 顯示特定目標 IP | ip.dst == 8.8.8.8 |
| 多條件組合 | ip.src==x && tcp.port==80 |
? 4. 封包內容怎麼看?
當你點選某一個封包時,會看到以下幾個區塊:
✅ 三大視窗區解說:
- 封包列表(Packet List)
- 所有抓到的封包
- 包含編號、時間、來源 IP、目的 IP、協定、簡要資訊
- 封包詳細資訊(Packet Details)
- 點一個封包後,這裡會分層顯示協定內容(如 Ethernet → IP → TCP → HTTP)
- 可展開每一層協定查看詳細欄位
- 封包原始碼(Hex)
- 該封包的十六進制數據 + ASCII 編碼
? 5. 常見協定分析實例
? 分析 HTTP 封包
過濾器輸入:http
- 可看到 GET、POST、Host、User-Agent 等資訊
- 適合除錯網站請求、API 呼叫等問題
? 分析 TLS/SSL 封包
過濾器:tls 或 ssl(新版以 tls 為主)
- 可看到握手流程(Client Hello、Server Hello)
- 若有密鑰可匯入(如 Firefox 的 SSLKEYLOGFILE),還能解密 HTTPS 內容!
? 分析 DNS 封包
過濾器:dns
- 可查看 DNS 查詢與回應(A、AAAA、CNAME)
- 可偵測 DNS 泄露、DNS-over-HTTPS 問題
? 6. 抓包實戰小技巧
? 抓某應用程式的流量
- 開啟 Wireshark
- 開啟你想測的 App(或網站)
- 抓包幾秒後停止
- 使用
ip.addr == x.x.x.x(App 的伺服器 IP)來過濾
? 儲存封包
- 點「File → Save As」儲存為
.pcapng格式 - 可分享給同事、上傳到 Wireshark Cloud 分析
? 7. 抓包須知與法律提醒
⚠ 請僅在你擁有授權的網路環境中抓包,否則可能觸法(如竊聽他人資訊)。
使用 Wireshark 學習很棒,但請務必遵守法律與道德!
? 加碼:Wireshark + 手機抓包(Android/iOS)
手機無法直接用 Wireshark 抓包,但可以透過:
- 架設 Hotspot:電腦當 AP,手機連線 → 電腦 Wireshark 抓
- 使用代理工具:如 Fiddler、Burp Suite,搭配 Wireshark 分析封包內容