Wireshark Mac版

Wireshark Mac版是适用于Mac OS系统上的一款网络抓包分析工具，也是世界上最重要的、被广泛使用的网络协议分析器，常用来检测网络问题、攻击溯源、或者分析底层通信机制。并且该软件使用WinPCAP作为接口，直接与网卡进行数据报文交换，可以实时检测网络通讯数据，检测其抓取的网络通讯数据快照文件。无论你是网络工程师、安全分析师，还是开发人员，掌握Wireshark都能让你在排查问题时更加得心应手。

Wireshark Mac版中文设置方法

1、点击左上角“Wireshark”，选择“Preferences”；

2、Language选择“Chinese”；

3、界面显示为中文。

软件功能

1、多协议支持与深度解析

协议覆盖：

支持超过 3000 种网络协议，涵盖从物理层（如 Ethernet、Wi-Fi）到应用层（如 HTTP、DNS、SMTP、MQTT）的全栈协议。

包括专有协议（如 Cisco EIGRP、Microsoft SMB）和加密协议（如 TLS/SSL、IPsec，需配合密钥解密）。

解析深度：

逐层拆解数据包，展示字段值、协议交互流程（如 TCP 三次握手、HTTP 请求/响应）。

支持 自定义协议解析（通过 Lua 脚本扩展），满足特殊分析需求（如工业控制协议 Modbus）。

2、实时抓包与离线分析

实时捕获：

从有线网卡（Ethernet）、无线网卡（Wi-Fi，需监听模式）、虚拟网卡（如 VMware、VPN）捕获数据包。

支持 多网卡同时抓包，便于对比不同链路的数据流。

离线分析：

可导入保存的抓包文件（.pcap、.pcapng 格式），支持跨平台分析（Windows/Linux/macOS）。

文件大小无理论限制，可处理数 GB 的大型抓包文件（通过分片加载优化性能）。

3、强大的过滤与搜索功能

显示过滤器（Display Filter）：

基于协议字段、数值范围、逻辑运算符（如 &&、||）实时过滤数据包。

示例：

http.request.method == "POST"：仅显示 HTTP POST 请求。

tcp.port == 443 && ip.addr == 192.168.1.1：过滤特定 IP 和端口的 TLS 流量。

捕获过滤器（Capture Filter）：

在抓包前设置，减少无关数据捕获（基于 BPF 语法，如 host 192.168.1.100 and port 80）。

高级搜索：

支持正则表达式搜索数据包内容（如查找敏感信息 credit_card=d{16}）。

4、数据可视化与统计

图表工具：

IO Graph：实时绘制网络流量趋势（如按协议、IP、端口分组）。

TCP Stream Graph：分析 TCP 重传、乱序、窗口大小变化。

协议分层统计：展示各协议占比（如 HTTP 占 60%、DNS 占 10%）。

地理定位：

结合 MaxMind GeoIP 数据库，在地图上标注 IP 地址的物理位置（需手动配置数据库）。

5、导出与协作功能

数据导出：

支持导出为 CSV、XML、JSON 格式，便于与其他工具（如 Excel、Python 脚本）集成分析。

可导出特定协议字段（如提取所有 HTTP URL 或 DNS 查询记录）。

协作分析：

通过 Wireshark 的远程捕获功能（如 SSH 隧道或 RPCAP），团队可共享抓包数据。