wireshark 32位中文版 v3.6.24官方版

Wireshark 32位中文版是一款非常流行的网络数据包分析工具，专为32位Windows系统设计，目前是官方的最后一个版本，不再更新。它支持几百种协议和流媒体类型，具备强大的显示过滤器语言和TCP会话重构功能，能详细捕捉和展示网络封包信息，在开发测试中常用于问题定位。

软件通过WinPCAP接口直接与网卡交互，实时检测网络通讯数据，并提供图形界面查看每一层的详细内容。用户还可以用图表形式直观展示数据分布情况。对于新手来说，面对大量冗余数据时，可以通过抓包过滤器和显示过滤器快速筛选目标信息。

文章详细介绍了两种过滤器的使用方法：捕获过滤器用于抓包前设置（如ip host 60.207.246.216 and icmp），而显示过滤器则在抓包后进一步精炼数据（如ip.addr == 211.162.2.183 and icmp）。此外，还讲解了过滤表达式的语法和实例，包括协议、IP、端口过滤以及逻辑运算符的使用。

Wireshark支持多种平台和协议，具备实时捕获、数据分析和导出功能，并有多款插件扩展其能力。最近的更新修复了一些安全漏洞和错误，提升了稳定性。作为一款强大但略显陈旧的工具，32位版本在简单网络环境中依然实用，适合新手或不复杂的场景使用。虽然未来可能需要转向64位版本，但它依然是学习网络分析的好选择。

wireshark32位过滤规则及使用方法

初学者使用wireshark时，将会得到大量的冗余数据包列表，以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器，学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

1、抓包过滤器

捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。

如何使用？可以在抓取数据包前设置如下。

ip host 60.207.246.216 and icmp表示只捕获主机IP为60.207.246.216的ICMP数据包。获取结果如下：

2、显示过滤器

显示过滤器是用于在抓取数据包后设置过滤条件进行过滤数据包。通常是在抓取数据包时设置条件相对宽泛，抓取的数据包内容较多时使用显示过滤器设置条件顾虑以方便分析。同样上述场景，在捕获时未设置捕获规则直接通过网卡进行抓取所有数据包，如下

执行ping www.huawei.com获取的数据包列表如下；

观察上述获取的数据包列表，含有大量的无效数据。这时可以通过设置显示器过滤条件进行提取分析信息。ip.addr == 211.162.2.183 and icmp。并进行过滤。

上述介绍了抓包过滤器和显示过滤器的基本使用方法，在组网不复杂或者流量不大情况下，使用显示器过滤器进行抓包后处理就可以满足我们使用。

wireshark过滤器表达式的规则

1、抓包过滤器语法和实例

抓包过滤器类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&& 与、|| 或、！非）

（1）协议过滤

比较简单，直接在抓包过滤框中直接输入协议名即可。

TCP，只显示TCP协议的数据包列表

HTTP，只查看HTTP协议的数据包列表

ICMP，只显示ICMP协议的数据包列表

（2）IP过滤

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

（3）端口过滤

port 80

src port 80

dst port 80

（4）逻辑运算符&& 与、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

！broadcast 不抓取广播数据包

2、显示过滤器语法和实例

（1）比较操作符

比较操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。

（2）协议过滤

比较简单，直接在Filter框中直接输入协议名即可。注意：协议名称需要输入小写。

tcp，只显示TCP协议的数据包列表

http，只查看HTTP协议的数据包列表

icmp，只显示ICMP协议的数据包列表

ip.addr == 192.168.1.104 显示源IP地址或目标IP地址为192.168.1.104的数据包列表

（4）端口过滤

tcp.port ==80,  显示源主机或者目的主机端口为80的数据包列表。

tcp.srcport == 80,  只显示TCP协议的源主机端口为80的数据包列表。

tcp.dstport == 80，只显示TCP协议的目的主机端口为80的数据包列表。

（5） Http模式过滤

http.request.method=="GET",   只显示HTTP GET方法的。

（6）逻辑运算符为 and/or/not

过滤多个条件组合时，使用and/or。比如获取IP地址为192.168.1.104的ICMP数据包表达式为ip.addr == 192.168.1.104 and icmp

（7）按照数据包内容过滤。假设我要以IMCP层中的内容进行过滤，可以单击选中界面中的码流，在下方进行选中数据。如下

右键单击选中后出现如下界面；

选中Select后在过滤器中，后面条件表达式就需要自己填写。如下我想过滤出data数据包中包含"abcd"内容的数据流。包含的关键词是contains 后面跟上内容。

软件特色

1、支持多种平台：可以在Mac OS X、Linux、Windows等多个平台上运行。

2、多种协议支持：支持多种网络协议，包括TCP、UDP、HTTP、DNS等。

3、实时捕获和显示：可以实时捕获和显示网络数据包，支持设置捕获过滤器和显示过滤器。

4、数据包分析和导出：可以对捕获的数据包进行深入分析，并可以导出为多种格式，包括文本、CSV、XML等。

5、可扩展性：支持多种插件和自定义脚本，可以扩展其功能和定制化分析过程。

更新日志

v3.6.24版本

1、已修复以下漏洞：

wnpa-sec-2024-09在写入多个文件时注入机密时，editcap命令行实用程序可能会崩溃。

2、已修复以下错误：

在插件Issue 19579中使用wmem_register_callback时，Wireshark在退出时崩溃。