刚接触ref="/tag/72/" style="color:#EB6E00;font-weight:bold;">网络排错或安全分析的朋友,常被“抓包”“协议分析”这些词绕晕。其实第一步很简单:先把工具装上。今天就用大白话讲清楚几款主流网络协议分析工具的安装方法,不绕弯、不翻墙、不折腾。
Wireshark(Windows/macOS/Linux 通吃)
最常用、带图形界面、新手友好。官网下载地址是 wireshark.org/download,别搜错成山寨站。
Windows:下载 Wireshark-win64-x.x.x.exe(比如 Wireshark-win64-4.2.5.exe),双击安装。注意勾选“WinPcap/Npcap”——这是抓包必需的驱动,推荐选 Npcap(比老版 WinPcap 更稳定,支持环回抓包)。
macOS:下 dmg 镜像,拖进 Applications 就行。首次运行会提示安装“ChmodBPF”工具,点允许,它负责给普通用户读取网卡权限。
Linux(Ubuntu/Debian):
sudo apt update && sudo apt install wiresharkwireshark 组才能免 root 抓包:sudo usermod -a -G wireshark $USERnewgrp wireshark 切换组生效。
Tcpdump(Linux/macOS 命令行神器)
没界面,但轻快、可靠,服务器上排查问题离不开它。
Ubuntu/Debian:
sudo apt install tcpdumpsudo yum install tcpdumpsudo dnf install tcpdumpbrew install tcpdumptcpdump -i any port 80 就能看 HTTP 流量。
Tshark(Wireshark 的命令行版)
功能和 Wireshark 几乎一样,但跑在终端里,适合写脚本、远程服务器分析。
Windows 安装 Wireshark 时默认就带了,路径一般在 C:\Program Files\Wireshark\tshark.exe;Linux/macOS 跟 Wireshark 一起装,命令就是 tshark。验证是否可用:
tshark -v小提醒
装完别急着抓包。Windows 上如果看不到本机访问网页的流量,试试把网卡选成“Npcap Loopback Adapter”;macOS 抓本地回环要开 ChmodBPF;Linux 普通用户抓包失败,大概率是没加进 wireshark 组或没重启 shell。遇到报错,复制关键词搜一下错误提示,基本都有解法。