使用 Wireshark 进行深度网络流量分析与故障排查 #

通过标准化的捕获、过滤和分析流程，利用 Wireshark 对网络数据包进行细粒度审查，快速定位网络延迟、安全漏洞及协议异常。

为什么需要这个技能 #

在处理网络连接中断、应用响应缓慢或疑似遭受攻击等问题时，单纯依靠日志往往难以还原真实情况。Wireshark 能够提供网络层面的“第一手证据”，让分析者能够看到每一个比特的传输细节。

掌握该技能可以让你从海量的数据包中精准抽离关键会话，分析 TCP 重传、握手失败或不正常的 DNS 查询，从而将排查时间从数小时缩短至数分钟。

适用场景 #

• 网络故障排除：诊断丢包、高延迟或 TCP 连接重置（RST）原因。
• 安全分析：检测端口扫描、ARP 欺骗、恶意软件 C2 回传流量。
• 性能调优：分析 HTTP 响应时间，识别网络瓶颈。
• 协议学习：实时观察 TCP/UDP、TLS、DNS 等协议的交互过程。

核心工作流 #

1. 流量捕获与预过滤 #

在启动捕获前，使用**捕获过滤器（Capture Filters）**减少内存压力。

• 仅捕获特定主机：host 192.168.1.100
• 仅捕获特定端口：port 80
• 组合过滤：host 192.168.1.100 and port 443

2. 精准显示过滤 #

捕获完成后，使用**显示过滤器（Display Filters）**快速定位问题：

• 基础过滤：ip.addr == 192.168.1.1（所有往返流量）
• 协议过滤：http、dns、tls 或 icmp
• 状态分析：tcp.flags.syn == 1（寻找连接请求）
• 异常检测：tcp.analysis.retransmission（定位 TCP 重传）

3. 会话重组与统计 #

• 跟随流（Follow Stream）：右键点击数据包 $\to$ Follow $\to$ TCP Stream，将碎片化的包还原为人类可读的完整对话。
• 层级分析：通过 Statistics $\to$ Protocol Hierarchy 查看流量分布比例。
• 端点分析：通过 Statistics $\to$ Conversations 识别流量最大的通信对。

4. 安全性审查 #

• 扫描检测：观察同一源 IP 在短时间内尝试连接大量不同端口的 SYN 包。
• 异常 DNS：过滤 dns.flags.rcode != 0 查找失败的解析请求。
• 文件提取：使用 File $\to$ Export Objects $\to$ HTTP 导出传输的文件。

下载和安装 #

下载 wireshark-analysis 中文版 Skill ZIP

解压后将目录放入你的 AI 工具 skills 文件夹，重启工具后即可使用。具体路径参考内附的 USAGE.zh.md。

你可能还需要 #

暂无推荐