文章总结： 文档介绍了使用Wireshark进行网络流量分析与攻击检测的实验。通过实战演示了数据包捕获、协议过滤、DNS及TCP流分析等基础操作，并利用统计功能查看端点和I/O图表。在攻击检测方面，文章重点讲解了如何通过过滤器识别SYN端口扫描和ARP欺骗流量，为网络安全人员提供了实用的流量分析思路。 综合评分： 81 文章分类： 网络安全,实战经验,安全工具

基于Wireshark的网络流量分析与攻击检测

原创

dcnb

Web安全基础与实践

2025年12月25日 18:00 广东

Wireshark 是一款免费开源的网络协议分析器，能够实时捕获网络数据包，并详细显示每个数据包的内容。它是网络安全、网络管理和网络开发人员的必备工具。其核心功能有实时捕获、深度分析、过滤搜索、可视化分析、文件处理等，本实验主要研究基于Wireshark的网络流量分析与攻击检测。

1、流量分析

本实验以Windows10攻击机中Wireshark进行流量分析为例进行演示。

Windows10攻击机中已经下载Wiershark，如图1所示，无需安装，打开即可。同时打开其他攻击机和靶机。

图1  已下载的Wireshark以及其界面

随后，选择网络接口，点击”开始捕获”按钮，等待数据包流动，点击”停止捕获”，完成Wireshark的流量捕获，如图2所示。

图2  捕获的结果

依次尝试不同协议过滤器，如图3、4、5所示。

图3  ip.addr == 192.168.1.103

图4  icmp

图5  组合过滤ip.addr == 192.168.1.103 and icmp

分析DNS查询：在过滤器栏输入：dns，点击”应用”，查看DNS查询和响应数据包，右键点击一个DNS包 →追踪流 → UDP Stream，如图6所示，结果如图7所示。

图6  DNS查询

图7  UDP流

查看协议分层统计：点击顶部菜单：统计→ 协议分级，查看协议分层统计窗口，观察各种协议的百分比，如图8所示。

图8  协议分级统计

查看端点统计：点击菜单：统计→ 端点，查看所有通信端点切换到IPv4标签，查看IP地址和流量统计，如图9所示。

图9  查看端点统计

查看IO图表：点击菜单：统计 → I/O图表，查看流量随时间变化的图表，如图10所示，可以调整时间间隔。

图10  IO图表

查看流量图:点击菜单：统计 → 流量图,查看TCP流图,观察连接建立和关闭过程,如图11所示。

图11  流量图

查看专家信息：点击底部状态栏的”专家信息”图标（左下角的圆圈），查看错误、警告、提示等信息，注意观察是否有异常流量，如图12所示。

图12  专家信息

使用着色规则：查看数据包列表，不同颜色代表不同协议，点击菜单：视图→ 着色规则，查看现有的着色规则，如图13所示，可以修改或添加规则。

图13  着色规则

重组TCP流：找到一个TCP数据包，右键点击 →追踪流→TCP流，查看完整的TCP会话可以保存整个会话内容，如图14所示。

图14  TCP流

生成统计报告：点击菜单：统计→ 捕获文件属性，如图15所示。

图15  统计报告

2、攻击检测

端口扫描：过滤器输入：tcp.flags.syn==1 and tcp.flags.ack==0，查看SYN扫描流量，统计SYN包数量，如图16所示。检测ARP欺骗：过滤器输入：arp查看ARP流量，查找异常的ARP应答，如图17所示。

图16  端口扫描

图17  检测ARP欺骗

本文由陈鑫同学投稿。

• END –

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Web安全基础与实践 dcnb《基于Wireshark的网络流量分析与攻击检测》