> 原文出處：[EMC中文支持論壇](https://community.emc.com/thread/194901) 按照國際慣例，從最基本的說起。 **抓取報文****:** 下載和安裝好Wireshark之后，啟動Wireshark并且在接口列表中選擇接口名，然后開始在此接口上抓包。例如，如果想要在無線網絡上抓取流量，點擊無線接口。點擊Capture Options可以配置高級屬性，但現在無此必要。 [](https://box.kancloud.cn/2015-09-09_55efb000da5c4.png "一站式學習Wireshark（一）：Wireshark基本用法") 點擊接口名稱之后，就可以看到實時接收的報文。Wireshark會捕捉系統發送和接收的每一個報文。如果抓取的接口是無線并且選項選取的是混合模式，那么也會看到網絡上其他報文。 上端面板每一行對應一個網絡報文，默認顯示報文接收時間（相對開始抓取的時間點），源和目標IP地址，使用協議和報文相關信息。點擊某一行可以在下面兩個窗口看到更多信息。“+”圖標顯示報文里面每一層的詳細信息。底端窗口同時以十六進制和ASCII碼的方式列出報文內容。  需要停止抓取報文的時候，點擊左上角的停止按鍵。  **色彩標識****:** 進行到這里已經看到報文以綠色，藍色，黑色顯示出來。Wireshark通過顏色讓各種流量的報文一目了然。比如默認綠色是TCP報文，深藍色是DNS，淺藍是UDP，黑色標識出有問題的TCP報文——比如亂序報文。  **報文樣本****:** 比如說你在家安裝了Wireshark，但家用LAN環境下沒有感興趣的報文可供觀察，那么可以去Wireshark wiki下載[報文樣本文件](http://wiki.wireshark.org/SampleCaptures)。 打開一個抓取文件相當簡單，在主界面上點擊Open并瀏覽文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打開。  **過濾報文****:** 如果正在嘗試分析問題，比如打電話的時候某一程序發送的報文，可以關閉所有其他使用網絡的應用來減少流量。但還是可能有大批報文需要篩選，這時要用到Wireshark過濾器。 最基本的方式就是在窗口頂端過濾欄輸入并點擊Apply（或按下回車）。例如，輸入“dns”就會只看到DNS報文。輸入的時候，Wireshark會幫助自動完成過濾條件。  也可以點擊Analyze菜單并選擇Display Filters來創建新的過濾條件。  另一件很有趣的事情是你可以右鍵報文并選擇Follow TCP Stream。  你會看到在服務器和目標端之間的全部會話。  關閉窗口之后，你會發現過濾條件自動被引用了——Wireshark顯示構成會話的報文。  **檢查報文****:** 選中一個報文之后，就可以深入挖掘它的內容了。 [](https://box.kancloud.cn/2015-09-09_55efb03447eba.png "一站式學習Wireshark（一）：Wireshark基本用法") 也可以在這里創建過濾條件——只需右鍵細節并使用Apply as Filter子菜單，就可以根據此細節創建過濾條件。  Wireshark是一個非常之強大的工具，第一節只介紹它的最基本用法。網絡專家用它來debug網絡協議實現細節，檢查安全問題，網絡協議內部構件等等。