Wireshark for Mac中文版 v4.6.4

Wireshark Mac版是一款专业好用的网络分析器，本质上是一款功能强大的网络封包分析软件，核心功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。它能让用户在微观层面清晰了解网络上发生的所有活动，凭借其专业性和实用性，已成为许多行业和教育机构中事实上（且往往在法律上）的网络分析标准工具，适配macOS全系列主流版本，兼顾Apple Silicon（M1/M2/M3）和Intel芯片设备，运行稳定高效。

Wireshark Mac版 软件特色

跨系统兼容，适用于UNIX系统和Windows系统，Mac版完美适配苹果电脑操作逻辑，无缝衔接系统环境。

支持捕获来自网络接口的实时数据包数据，实时监控网络流量，精准捕捉每一个网络封包。

可正常打开包含用tcpdump/WinDump捕获的数据包数据的文件，同时兼容Wireshark和许多其他数据包捕获程序生成的文件。

能够导入包含数据包数据十六进制转储的文本文件中的数据包，灵活处理不同格式的数据包资源。

可显示数据包非常详细的协议信息，清晰呈现封包的底层数据和协议细节，助力用户深入分析。

支持保存捕获的分组数据，便于后续复盘、分析和共享，留存网络活动记录。

可将捕获的部分或全部数据包导出为多种捕获文件格式，适配不同场景下的数据分析和共享需求。

支持根据多种标准筛选数据包，快速筛选出目标数据，提升分析效率，避免无关数据干扰。

可根据多种标准搜索数据包，精准定位所需封包，快速找到关键网络数据。

支持基于过滤器的数据包显示着色功能，不同类型的数据包以不同颜色区分，直观清晰，便于快速识别。

可创建各种统计学分析报告，全面呈现网络流量特征、协议分布等信息，助力用户全面掌握网络状态。

核心功能介绍

一、原生macOS兼容性

64位支持：充分利用Apple Silicon（M1/M2/M3）和Intel芯片的性能，在处理大流量网络数据时运行更稳定、更流畅，避免卡顿和崩溃。

Retina显示优化：界面元素全面适配高分辨率Retina屏幕，显示清晰细腻；同时支持暗黑模式（需macOS Mojave及以上版本），适配不同使用场景和用户喜好，缓解视觉疲劳。

二、系统集成

采用Network Extensions框架，替代已废弃的Kernel Extensions（KEXT），完全符合macOS最新安全要求，避免因系统限制导致的功能异常，提升软件安全性和兼容性。

支持Wi-Fi抓包：需安装Npcap的macOS替代方案libpcap，该组件通常随Wireshark安装包自动配置，无需用户手动复杂操作，轻松实现Wi-Fi网络封包捕获。

三、跨平台功能一致性

与Windows、Linux版共享相同的协议解析引擎，支持3000+种协议解析，涵盖HTTP/3、QUIC、MQTT、gRPC等主流及特殊协议，满足不同场景下的网络分析需求。

提供Lua脚本扩展功能，用户可通过自定义Lua脚本，实现协议解析自定义或添加新功能（如解析私有物联网协议），灵活适配个性化分析需求。

四、macOS专属优化

低功耗模式适配：在笔记本电池供电时，软件会自动优化资源占用，降低耗电量，延长笔记本续航时间，兼顾分析需求和续航体验。

Touch Bar支持：适配部分MacBook Pro型号的Touch Bar，可在Touch Bar上快速访问常用功能（如开始/停止抓包、切换过滤器等），简化操作流程，提升使用效率。

Wireshark抓包工具 过滤器表达式规则

一、抓包过滤器语法和实例

抓包过滤器核心组成：类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&& 与、|| 或、！非），具体实例如下：

协议过滤：操作简单，直接在抓包过滤框中输入协议名即可。

TCP：只显示TCP协议的数据包列表；

HTTP：只查看HTTP协议的数据包列表；

ICMP：只显示ICMP协议的数据包列表。

IP过滤：

host 192.168.1.104：捕获所有与IP地址192.168.1.104相关的数据包；

src host 192.168.1.104：只捕获源IP地址为192.168.1.104的数据包；

dst host 192.168.1.104：只捕获目标IP地址为192.168.1.104的数据包。

端口过滤：

port 80：捕获所有端口为80的数据包；

src port 80：只捕获源端口为80的数据包；

dst port 80：只捕获目标端口为80的数据包。

逻辑运算符使用：

src host 192.168.1.104 && dst port 80：抓取源主机地址为192.168.1.104、目的端口为80的数据包；

host 192.168.1.104 || host 192.168.1.102：抓取主机为192.168.1.104或者192.168.1.102的数据包；

！broadcast：不抓取广播数据包。

二、显示过滤器语法和实例

比较操作符：包含==（等于）、！=（不等于）、>（大于）、<（小于）、>=（大于等于）、<=（小于等于）。

协议过滤：直接在Filter框中输入协议名（注意：协议名称需输入小写）。

tcp：只显示TCP协议的数据包列表；

http：只查看HTTP协议的数据包列表；

icmp：只显示ICMP协议的数据包列表。

IP过滤：

ip.src == 192.168.1.104：显示源地址为192.168.1.104的数据包列表；

ip.dst == 192.168.1.104：显示目标地址为192.168.1.104的数据包列表；

ip.addr == 192.168.1.104：显示源IP地址或目标IP地址为192.168.1.104的数据包列表。

端口过滤：

tcp.port == 80：显示源主机或者目的主机端口为80的数据包列表；

tcp.srcport == 80：只显示TCP协议的源主机端口为80的数据包列表；

tcp.dstport == 80：只显示TCP协议的目的主机端口为80的数据包列表。

HTTP模式过滤：http.request.method=="GET"：只显示HTTP GET方法的数据包。

逻辑运算符：使用and/or/not组合多个条件，例如：ip.addr == 192.168.1.104 and icmp：获取IP地址为192.168.1.104的ICMP数据包。

按数据包内容过滤：选中界面中的码流，在下方选中目标数据并点击Select，过滤器中需手动填写条件表达式；例如，过滤data数据包中包含"abcd"内容的数据流，表达式为：data contains "abcd"（contains为包含关键词）。

软件优势

多网络媒体实时捕获：Wireshark可捕获来自多种不同网络媒体类型的流量，包括以太网、无线局域网、蓝牙、USB等；特定媒体支持类型可能受硬件和操作系统限制，适配大多数主流网络环境。

多格式文件导入：支持从大量其他捕获程序中导入数据包捕获文件，兼容多种格式，无需手动转换，灵活处理不同来源的网络数据。

多格式文件导出：可将捕获的数据包以多种格式保存，兼容其他捕获程序，方便数据共享、跨平台分析和后续复盘，适配不同场景下的使用需求。

wireshark mac版中文设置

1、打开电脑上安装的"Wireshark"工具软件之后，进入到软件操作主界面

2、选择"Wireshark"->"Preferences..."菜单

3、进入到"Preference"操作对话框

4、之后，将"Language"选项由默认的;English"方式更改成Chinese"方式，再点击"OK"按钮应用生效

5、完成操作后，即可立即将Wireshark的界面操作语言由英文改成中文方式

注意事项

Wi-Fi抓包需确保已安装libpcap组件（通常随安装包自动配置），若未安装，需手动下载安装，否则无法正常捕获Wi-Fi数据包。

使用抓包功能时，需确保电脑具备相应的网络权限，部分macOS版本需在【系统偏好设置】-【安全性与隐私】中允许Wireshark的网络访问权限。

过滤器表达式需严格遵循语法规则，区分抓包过滤器和显示过滤器的差异（如显示过滤器协议名需小写），避免因语法错误导致过滤失败。

捕获大流量网络数据时，建议预留足够的电脑存储空间，避免因存储空间不足导致捕获中断或数据丢失。

建议从Wireshark官方渠道下载安装软件，避免从非官方渠道获取，防止捆绑恶意软件、导致软件异常或网络数据泄露。

抓包行为需遵守相关法律法规，不得用于非法监听、窃取他人网络数据等违规违法活动，仅用于合法的网络分析和调试。