wireshark 32位绿色版

Wireshark32位对还在用32位Windows的老机器来说，它依然是抓包神器。支持几百种协议，过滤器超灵活，还能把TCP会话完整还原出来，看封包细节清清楚楚。它靠WinPcap直接跟网卡打交道，实时抓流量、存快照，再通过图形界面一层层扒开数据包——从物理层到应用层，啥都看得明明白白。要是想直观看流量变化，还能生成图表，排查网络问题、调试程序特别管用。

软件特色

1、全面协议支持与深度数据解析

支持数百种网络协议和流媒体类型，可逐层解析数据包内容，并具备TCP会话重组能力，便于精准定位通信问题。

2、基于WinPcap的实时抓包与图形化分析

通过WinPcap接口直接与网卡交互，实时捕获网络流量，配合直观图形界面，轻松浏览封包各层详细信息。

3、专为32位Windows系统优化的经典版本

作为官方最终版32位中文版，虽不再更新，但稳定可靠，适合老旧设备或特定环境下的开发测试与网络故障排查。

wireshark32位过滤规则及使用方法

初学者使用wireshark时，将会得到大量的冗余数据包列表，以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器，学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

1、抓包过滤器

捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。

如何使用?可以在抓取数据包前设置如下。

ip host 60.207.246.216 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包。获取结果如下：

2、显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛，抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析。同样上述场景，在捕获时未设置捕获规则直接通过网卡进行抓取所有数据包，如下

执行ping www.huawei.com获取的数据包列表如下;

观察上述获取的数据包列表，含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 211.162.2.183 and icmp。并进行过滤。

上述介绍了抓包过滤器和显示过滤器的基本使用方法，在组网不复杂或者流量不大情况下，使用显示器过滤器进行抓包后处理就可以满足我们使用。

wireshark过滤器表达式的规则

1、抓包过滤器语法和实例

抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)

(1)协议过滤

比较简单，直接在抓包过滤框中直接输入协议名即可。

TCP，只显示TCP协议的数据包列表

HTTP，只查看HTTP协议的数据包列表

ICMP，只显示ICMP协议的数据包列表

(2)IP过滤

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

(3)端口过滤

port 80

src port 80

dst port 80

(4)逻辑运算符&& 与、|| 或、!非

src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

!broadcast 不抓取广播数据包

2、显示过滤器语法和实例

(1)比较操作符

比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

(2)协议过滤

比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

tcp，只显示TCP协议的数据包列表

http，只查看HTTP协议的数据包列表

icmp，只显示ICMP协议的数据包列表

(3) ip过滤

ip.src ==192.168.1.104 显示源地址为192.168.1.104的数据包列表

ip.dst==192.168.1.104. 显示目标地址为192.168.1.104的数据包列表

ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

(4)端口过滤

tcp.port ==80. 显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80. 只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80.只显示TCP协议的目的主机端口为80的数据包列表。

(5) Http模式过滤

http.request.method=="GET", 只显示HTTP GET方法的。

(6)逻辑运算符为 and/or/not

过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

(7)按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。如下

右键单击选中后出现如下界面;

选中Select后在过滤器中，后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。包含的关键词是contains 后面跟上内容。

软件亮点

1、支持多种平台：可以在Mac OS X、Linux、Windows等多个平台上运行。

2、多种协议支持：支持多种网络协议，包括TCP、UDP、HTTP、DNS等。

3、实时捕获和显示：可以实时捕获和显示网络数据包，支持设置捕获过滤器和显示过滤器。

4、数据包分析和导出：可以对捕获的数据包进行深入分析，并可以导出为多种格式，包括文本、CSV、XML等。

5、可扩展性：支持多种插件和自定义脚本，可以扩展其功能和定制化分析过程。

更新日志

v3.6.24版本

1、已修复以下漏洞：

wnpa-sec-2024-09在写入多个文件时注入机密时，editcap命令行实用程序可能会崩溃。

2、已修复以下错误：

在插件Issue 19579中使用wmem_register_callback时，Wireshark在退出时崩溃。