Wireshark 50项终极实战技巧

涵盖抓包配置、协议解析、故障排查、安全分析、自动化五大维度，每个技巧均附**场景+语法+案例

---

一、抓包配置篇（10项）

1. 多网卡同时抓包

   wireshark -i eth0 -i wlan0 -k  # Linux多网卡捕获

2. 限制抓包大小
   捕获 → 选项 → 输入 → 勾选"多文件"（每100MB分段存储）

3. 过滤抓包内容（BPF语法）

   src host 192.168.1.1 and port 80  # 捕获前过滤

4. 抓取VLAN封装流量
   编辑 → 首选项 → Protocols → IEEE 802.1Q → 启用VLAN解析

5. 捕获HTTP对象
   文件 → 导出对象 → HTTP → 一键提取网页/图片

6. 按包长过滤

   frame.len <= 64  # 抓取小包（常用于DDOS检测）

7. 保存RTP流媒体
   电话 → RTP → 流分析 → 点击"保存音频"

8. 时间同步校准
   视图 → 时间参考 → 右键包设为参考点（计算相对时间）

9. 抓取进程流量

   tshark -i eth0 -f "port 80" -z "io,stat,1,ip.addr==192.168.1.100"  # 统计进程流量

10. 虚拟网卡抓包
    Docker容器抓包：

    tshark -i docker0 -f "tcp port 8080"

---

 二、过滤语法篇（12项）

场景	过滤式	说明
11. TCP连接状态	tcp.flags.syn==1 and tcp.flags.ack==0	仅抓SYN包（扫描检测）
12. HTTP跳转跟踪	http.location	提取302重定向URL
13. DNS隧道检测	dns.qry.name.len > 50	过滤长域名（可疑隧道）
14. IP分片重组	ip.flags.mf == 1	查看分片包
15. VoIP通话筛选	sip.Method == "INVITE"	抓取SIP呼叫请求
16. WebSocket握手	http contains "Upgrade: websocket"	识别WS升级请求
17. SMTP密码泄露	smtp.req.command == "AUTH"	监控认证过程
18. ICMP隐蔽隧道	icmp and data.len > 32	检测大载荷ICMP包
19. ARP异常	arp.opcode != 2	过滤非ARP响应包
20. TCP零窗口	tcp.window_size == 0	定位接收方卡顿
21. SSL证书信息	ssl.handshake.certificate	提取服务器证书
22. DHCP地址冲突	bootp.option.type == 50	抓取DHCP请求包

---

三、协议分析篇（10项）

1. 解密TLS 1.3

   编辑 → 首选项 → TLS → (Pre)-Master-Secret log路径
   # 浏览器设置SSLKEYLOGFILE环境变量

2. 解析MySQL查询

   mysql.query contains "SELECT"  -- 监控SQL语句

3. 提取FTP文件
   文件 → 导出对象 → FTP → 下载传输的文件

4. 分析QUIC协议
   quic → 展开"CRYPTO帧"查看加密信息

5. 跟踪SMB文件操作

   smb2.cmd == 5  # 文件创建操作

6. 解码gRPC流
   Protobuf配置：首选项 → Protocols → Protobuf 添加.proto文件路径

7. 查看NTP时间同步
   ntp → 分析"Stratum"字段（值越小时钟源越优）

8. 解析工业协议
   Modbus/TCP：过滤modbus.func_code == 6（写寄存器请求）

9. 提取Kerberos票据
   kerberos → 右键"AP-REQ"包 → 导出ASN.1格式票据

10. 分析比特币流量

    bitcoin.message.command == "tx"  # 监控交易广播

---

四、故障排查篇（10项）

1. 定位TCP乱序

   tcp.analysis.out_of_order  # 过滤乱序包
   → Statistics → TCP Stream Graph → Window Scaling

2. 计算HTTP响应时延

   http.time > 0.5  # 高延迟请求
   → 右键"Follow HTTP Stream"看服务端响应间隔

3. 诊断DNS污染
   比较多个DNS响应：

   dns.qry.name == "www.google.com" and dns.flags.response == 1

4. 发现广播风暴
   IO Graphs → Y轴设置：COUNT(eth.dst == ff:ff:ff:ff:ff:ff)

5. 检测MTU问题

   icmp.type==3 and icmp.code==4  # 抓取"需要分片"ICMP包

6. 分析视频卡顿
   RTP流分析 → 检查"Jitter"和"Packet Loss"图表

7. 定位TCP窗口缩颈

   tcp.analysis.window_full  # 窗口满包过滤

8. 追踪Wi-Fi漫游

   wlan.fc.type_subtype == 0x000b  # 抓取重关联请求

9. 排查IP冲突

   arp.duplicate-address-frame  # ARP地址冲突包

10. 检测中间人攻击
    统计 → Endpoints → 检查同一IP的多个MAC地址

---

五、自动化篇（8项）

1. 批量提取DNS查询

   tshark -r traffic.pcap -Y "dns" -T fields -e dns.qry.name > dns_log.txt

2. 统计TOP10流量主机

   tshark -r file.pcap -qz io,stat,0,"ip.addr" | sort -n -k 6 | tail -n 10

3. 自动告警异常流量

   tshark -i eth0 -Y "tcp.analysis.retransmission" -c 10 -q | mail -s "重传告警" admin@site.com

4. 生成HTTP性能报告

   tshark -r http.pcap -Y "http" -T json > http_report.json

5. 提取所有URL

   tshark -r web.pcap -Y "http.request" -T fields -e http.host -e http.request.uri

6. 检测端口扫描

   tshark -i eth0 -Y "tcp.flags.syn==1 and tcp.flags.ack==0" -z "io,stat,10,COUNT(frame) frame" -q

7. 自动化绘图

   tshark -r voip.pcap -qz rtp,streams > rtp_analysis.svg

8. API流量监控

   tshark -i any -Y "http.request.method and http.host contains 'api'" -T ek > api_log.json

---

六、速查表（5大工程师场景）

角色	高频场景	核心技巧编号
网络工程师	带宽拥塞分析	6, 36, 38
安全研究员	恶意流量捕获	13, 18, 42, 48
开发工程师	API接口调试	12, 26, 50
运维工程师	服务器故障定位	33, 34, 39
渗透测试员	敏感信息提取	17, 22, 31

---

终极总结

Wireshark的50把手术刀：
✦ 抓包：物理网卡/容器流量/协议对象提取（1-10）
✦ 过滤：语法糖+协议特征精准狙击（11-22）
✦ 协议：从TLS 1.3到比特币的深度解码（23-32）
✦ 排障：网络层→应用层全栈诊断链（33-42）
✦ 自动化：TSHARK打造企业级监控流水线（43-50）