Wireshark是专业而且免费的网络嗅探抓包分析工具，几乎每个网络工程人员对这个软件都喜爱有加，Wireshark含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力，更支持上百种协议和媒体类型。

　　Wireshark 2.6.6是经典版本，可以实时检测网络通讯数据，也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据，可以查看网络通讯数据包中每一层的详细内容。

【使用指南】

　　抓取报文:

　　下载和安装好Wireshark之后，启动Wireshark并且在接口列表中选择接口名，然后开始在此接口上抓包。例如，如果想要在无线网络上抓取流量，点击无线接口。点击【捕获】——【选项】可以配置高级属性，但现在无此必要。

　　点击接口名称之后，就可以看到实时接收的报文。软件会捕捉系统发送和接收的每一个报文。如果抓取的接口是无线并且选项选取的是混合模式，那么也会看到网络上其他报文。

　　上端面板每一行对应一个网络报文，默认显示报文接收时间（相对开始抓取的时间点），源和目标IP地址，使用协议和报文相关信息。点击某一行可以在下面两个窗口看到更多信息。“+”图标显示报文里面每一层的详细信息。底端窗口同时以十六进制和ASCII码的方式列出报文内容。

　　色彩标识:

　　进行到这里已经看到报文以绿色，蓝色，黑色显示出来。Wireshark通过颜色让各种流量的报文一目了然。比如默认绿色是TCP报文，深蓝色是DNS，浅蓝是UDP，黑色标识出有问题的TCP报文——比如乱序报文。

　　报文样本:

　　比如说你在家安装了Wireshark，但家用LAN环境下没有感兴趣的报文可供观察，那么可以去Wireshark wiki下载报文样本文件。

　　打开一个抓取文件相当简单，在主界面上点击Open并浏览文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打开。

　　过滤报文:

　　如果正在尝试分析问题，比如打电话的时候某一程序发送的报文，可以关闭所有其他使用网络的应用来减少流量。但还是可能有大批报文需要筛选，这时要用到Wireshark过滤器。

　　最基本的方式就是在窗口顶端过滤栏输入并点击【应用】（或按下回车）。例如，输入“dns”就会只看到DNS报文。输入的时候，Wireshark会帮助自动完成过滤条件。

　　过滤报文:

　　如果正在尝试分析问题，比如打电话的时候某一程序发送的报文，可以关闭所有其他使用网络的应用来减少流量。但还是可能有大批报文需要筛选，这时要用到Wireshark过滤器。

　　最基本的方式就是在窗口顶端过滤栏输入并点击Apply（或按下回车）。例如，输入“dns”就会只看到DNS报文。输入的时候，Wireshark会帮助自动完成过滤条件。

　　也可以点击【分析】菜单并选择【显示过滤器】来创建新的过滤条件。

　　另一件很有趣的事情是你可以右键报文并选择Follow TCP Stream。

　　你会看到在服务器和目标端之间的全部会话。

　　关闭窗口之后，你会发现过滤条件自动被引用了——Wireshark显示构成会话的报文。