你是不是遇到过网页打不开、游戏连不上服务器、或者公司内网传文件突然变慢?这时候,光看网速测速没用,得看看ref="/tag/426/" style="color:#874873;font-weight:bold;">数据到底在网线上怎么跑的。抓包,就是把流经你电脑网卡的数据包‘捞’出来,一条条翻着看——就像快递员拆开包裹查寄件人、收件人、包裹内容一样。
先装个趁手的工具:Wireshark
目前最常用、免费又开源的网络数据包分析工具就是 Wireshark。它支持 Windows、macOS 和 Linux,界面直观,协议识别能力强。去官网 wireshark.org 下载安装包,一路默认下一步就行(注意勾选 WinPcap 或 Npcap——这是抓包必需的底层驱动)。
打开就能抓?别急,先选对网卡
启动 Wireshark 后,主界面会列出你电脑所有可用网络接口:比如「以太网」、「WLAN」、「vEthernet(WSL)」。如果你是连的 WiFi,就点「WLAN」;如果是插网线,就点「以太网」。别乱点「Loopback」或虚拟网卡,除非你明确知道自己在调试本地服务。
点一下「蓝色鲨鱼图标」就开始了
选中网卡后,直接点击左上角那个 蓝色鲨鱼图标(Start capturing packets),Wireshark 就开始实时捕获经过该网卡的所有数据包。你会看到密密麻麻的行刷屏式滚动——每行是一次通信,含时间、源IP、目标IP、协议(HTTP、DNS、TCP)、长度和信息摘要。
举个真实例子:查微信发不出消息
假设你微信发不出图片,但其他App正常。你可以:
1. 在 Wireshark 开始抓包;
2. 打开微信,尝试发送一张图;
3. 立刻点红色方块「停止捕获」;
4. 在顶部过滤栏输入 ip.addr == 182.254.128.0/17 and http(微信后台常用这个IP段),回车;
5. 找到状态码为 403 或 502 的 HTTP 包,右键 →「Follow」→「HTTP Stream」,就能看到微信返回的具体错误响应内容。
过滤是关键,不然全是噪音
刚抓下来几千上万条包,全看不现实。学会用显示过滤器快速聚焦:
tcp.port == 80 // 只看 HTTP 流量
ip.addr == 192.168.1.100 // 只看本机收发的包
http.request.method == "POST" // 只看 POST 请求
dns && ip.addr == 114.114.114.114 // 查 DNS 查询是否发到了 114小提醒:别乱抓别人流量
Wireshark 默认只能抓自己设备发出/接收的数据包。在路由器、交换机或公共WiFi下,除非你开了端口镜像或用了ARP欺骗(这涉及网络安全合规问题),否则看不到别人的数据。家用环境放心练手,单位网络请先获得IT部门授权。