WireShark 下载、安装和使用

1、下载
官网下载太慢，本人另外提供下载地址【下载WireShark】

2、安装
全部默认下一步即可，但如下图所示的这一步值得拿出来说一下。这一步是要你安装Npcap，但是你的电脑如果已经安装了WinPcap，那么可以选择不再安装Npcap。Npcap和WinPcap都是底层抓包驱动，但是WinPcap是较为陈旧的工具，已经停止更新，建议使用Npcap。

3、使用
3.1、打开软件过后首先双击选择要捕获的网卡：

3.2、开始捕获和停止捕获网络信息按钮如下图：

点击“捕获选项”按钮，打开对应的对话框，可以在对话框的下面看到“在所有接口上使用混杂模式”复选框。在普通模式下（不勾选复选框），网卡只会接收发送给自己的数据包（即目的地址是网卡的 MAC 地址的包）。而在混杂模式下，网卡会接收到所有经过其所在网络的广播包、单播包和多播包，不管这些包的目的地址是否是网卡的地址。这使得混杂模式非常适用于网络监控、故障排查、网络分析等任务。

3.3、过滤器的使用：输入tcp，看到过滤器输入框变成绿色后，按下回车键即可，如下图所示。假如输入大写的TCP，此时输入框是红色，则不能过滤：

3.4、如下图所示，可以看到表中的Source和Destination字段，意味着别人向我的电脑发的信息和我向别人电脑发送的信息都可以捕获到，下图中第一个红框就是别人向我发的，第二个红框就是我向别人发的：

3.5、查找指定的源IP和目标IP，如下图所示：

若使用 ip.addr == 192.168.1.101，则不管192.168.1.101在源IP还是目标IP位置都可以查出来。