選擇網路介面卡,開啟 Wireshark 後會看到一個清單,顯示所有的網路介面(例如:Wi-Fi、乙太網路卡)。
選擇你想監控的介面,雙擊即可開始抓包。接著開始捕獲封包,Wireshark 會即時顯示封包清單。
Wireshark 的畫面大致分為三個區域:
封包列表(上方):顯示每個封包的時間、來源、目的地、協議、長度、資訊摘要。
封包詳細內容(中間):點擊一個封包,可以看到其協議分層(例如 Ethernet → IP → TCP → HTTP)。
封包原始資料(下方):顯示十六進位與 ASCII 編碼的原始內容。
過濾器(Filter)只看 HTTP 流量:http,看 TCP 封包:tcp
只看來自某個 IP 的封包:ip.src == 192.168.0.1,要看特定端口(例如 80):tcp.port == 80
追蹤 TCP 流(Follow TCP Stream)時選擇一個 TCP 封包,右鍵 → Follow → TCP Stream,可重建完整的通訊過程。
最後是儲存捕獲:
File → Save As,可以存成 .pcapng 或 .pcap 檔,之後再分析。
網路除錯:檢查封包丟失、延遲、重傳等。
學習協議:觀察 TCP 三次握手、DNS 查詢、HTTP 請求。
資安分析:分析惡意流量、檢查未加密的敏感資訊。