Wireshark 4.4.5：揪出cap文件里的攻击IP大揭秘(图文)

Wireshark 4.4.5 是什么？

在网络分析的广阔领域中，Wireshark 无疑是一款备受瞩目的工具，而 Wireshark 4.4.5 则是其家族中的最新成员，于 2025 年 2 月 23 日发布。它是一款免费且开源的网络协议分析器，犹如网络世界的 “显微镜”，能够深入剖析网络中传输的每一个数据包 ，支持 Windows、macOS 和 Linux 等多种主流操作系统，这使得不同系统偏好的用户都能借助它来探索网络的奥秘。
Wireshark 4.4.5 的功能十分强大。它支持上千种协议的解析，从基础的 IP、TCP、UDP 协议，到较为复杂的如 Appletalk、Bittorrente 等专用协议，都能轻松应对，帮助用户深入了解网络通信的细节，无论是诊断网络故障，排查网络延迟、丢包等问题，还是优化网络性能，识别潜在的性能瓶颈，亦或是检测网络安全漏洞，发现恶意攻击行为，它都能发挥重要作用。而且，Wireshark 4.4.5 还具备强大的数据包捕获能力，可以精确地抓取网络中的数据，并以直观清晰的方式呈现出来，方便用户进行分析。其界面设计也充分考虑了用户的使用习惯，基于 GUI 的操作界面，搭配清晰的菜单栏和简洁明了的布局，即使是初次接触的新手也能快速上手。不同协议还会以彩色高亮显示，原始数据细节也能通过图形展示，进一步提升了用户的分析体验。

准备工作

在开始使用 Wireshark 4.4.5 分析 cap 文件中的攻击 IP 之前，需要做好一些准备工作。

安装 Wireshark 4.4.5

• Windows 系统：前往 Wireshark 官网（https://www.wireshark.org/download.html ），下载 Windows x64 Installer（64 位版本，若系统是 32 位则选择对应版本）。下载完成后，双击.exe 文件运行安装向导，在许可协议页面点击 “Noted” 同意协议，安装路径可自定义，也可保持默认。在组件选择页面，默认勾选的组件通常够用，但一定要确保 NPcap 被选中，因为它是捕包的核心驱动。安装过程中会弹出 NPcap 的安装窗口，跟随提示点击 “Install” 即可完成安装 。安装完成后，从开始菜单找到 Wireshark 图标，双击启动，首次运行可能需要管理员权限，右键选择 “以管理员身份运行”。

• macOS 系统：同样在官网根据系统版本下载对应的 DMG 文件（系统要求 macOS 10.15 或更高版本）。下载后，双击.dmg 文件，将 Wireshark 图标拖到 Applications 文件夹完成安装。打开 Applications 文件夹，双击 Wireshark 启动，首次运行可能会弹出 “未经验证的开发者” 提示，右键图标选择 “打开” 手动授权，同时去 “系统偏好设置 > 安全与隐私 > 防火墙”，确保 Wireshark 被允许访问网络。

• Linux 系统（以 Ubuntu 为例）：打开终端，输入 sudo add-apt-repository ppa:wireshark-dev/stable 添加官方 PPA 源，接着输入 sudo apt update 更新软件包列表，再输入 sudo apt install wireshark 安装 Wireshark，安装时会询问是否允许非 root 用户捕包，选择 “Yes” 方便日常使用，安装完成后可在应用菜单搜索 “Wireshark” 打开，也可在终端输入 wireshark 直接运行。若使用 Fedora 或 CentOS 等其他发行版，安装命令分别换成 dnf install wireshark 或 yum install wireshark ，其他步骤类似。

获取 cap 文件

cap 文件即网络封包文件，存储的是网络数据帧。获取 cap 文件的途径有多种：

• 使用抓包工具抓取：可以在本地计算机上利用 Wireshark 自身的抓包功能获取 cap 文件。点击菜单栏 “Capture”>“Interfaces”（快捷键 Ctrl + I），在弹出的接口列表中，找到想要监控的接口（如 Wi-Fi 或 Ethernet），勾选并点击 “Start” 即可开始抓包，点击工具栏的绿色 “鲨鱼鳍” 按钮（或 Ctrl + Shift + S）停止抓包，抓包结果会保存为 cap 文件 。也可以使用 tcpdump（Linux 系统）、Fiddler（Windows 系统，主要抓 HTTP/HTTPS 包）等抓包工具获取 cap 文件。

• 从网络设备获取：部分网络设备（如某些型号的路由器）具备抓包功能，通过登录设备管理界面，在相关设置中启动抓包功能，抓取一定时间后停止，将生成的 cap 文件下载到本地，以便后续使用 Wireshark 分析 。

• 他人分享或从公开数据集获取：在一些网络安全交流社区、研究机构网站等可能会有公开分享的 cap 文件，用于学习和研究网络分析，可根据需求获取。但要注意来源的合法性和可靠性，避免引入恶意文件。

打开 cap 文件

当你成功安装好 Wireshark 4.4.5 并获取了 cap 文件后，接下来就可以打开 cap 文件进行分析了，具体步骤如下：

1. 启动 Wireshark 4.4.5：在 Windows 系统中，从开始菜单找到 Wireshark 4.4.5 的图标，双击启动；在 macOS 系统的 Applications 文件夹中找到 Wireshark 4.4.5 图标并双击；在 Linux 系统的应用菜单搜索 “Wireshark 4.4.5”，或者在终端输入 “wireshark-4.4.5”（若命令别名设置正确）来启动 。

2. 选择打开文件选项：点击菜单栏中的 “File”，在下拉菜单中选择 “Open”，也可以直接使用快捷键 “Ctrl + O”（Windows 和 Linux）或 “Command + O”（macOS） 。

3. 找到 cap 文件并打开：在弹出的文件浏览窗口中，定位到 cap 文件所在的文件夹，选中 cap 文件，然后点击 “Open” 按钮 。

此时，Wireshark 4.4.5 会加载 cap 文件中的数据包，并在界面中显示出来。通常会看到三个主要窗格：顶部的包列表窗格，会按照时间顺序列出捕获到的所有数据包，每一行代表一个数据包，包含数据包的编号、时间戳、源 IP 地址、目标 IP 地址、协议类型等基本信息；中间的包详情窗格，当在包列表窗格中点击某个数据包时，这里会展示该数据包详细的协议解析内容，从链路层、网络层、传输层到应用层，层层展开，帮助用户深入了解数据包的内部结构；底部的包字节窗格，显示的是选中数据包的原始字节数据，以十六进制和 ASCII 码两种形式呈现，方便用户查看数据包最原始的内容 。
[此处插入打开 cap 文件的操作步骤截图，如启动 Wireshark 后的界面截图、选择打开文件选项的截图、找到 cap 文件并打开的截图，以及打开 cap 文件后展示三个主要窗格的截图]

初步观察流量

当 cap 文件成功加载到 Wireshark 4.4.5 中后，我们首先进行初步的流量观察，这有助于我们对整个网络通信情况有一个宏观的了解，为后续深入分析攻击 IP 奠定基础。

查看数据包数量

在 Wireshark 界面的底部状态栏，可以直接看到捕获的数据包总数 。这个数字直观地反映了 cap 文件中包含的网络交互的频繁程度。例如，如果数据包数量较少，可能表示网络活动相对不活跃；而大量的数据包则可能意味着网络中存在大量的正常业务流量，也有可能是受到了攻击导致流量异常增加 。比如，在一个正常办公网络的 cap 文件中，可能每小时捕获到的数据包数量在几千到几万不等；但在遭受 DDoS 攻击时，数据包数量可能会在短时间内飙升至数十万甚至更多 。

分析协议类型分布

在 Wireshark 中，点击菜单栏的 “Statistics”>“Protocol Hierarchy”（协议分层统计） 。这会弹出一个窗口，详细展示不同协议在整个网络流量中的占比情况 。通常，常见的协议如 TCP、UDP、HTTP、HTTPS 等会占据较大比例。如果发现一些不常见或可疑的协议（如一些专门用于攻击的自定义协议）出现较高占比，就需要特别关注 。例如，在正常的网页浏览场景下，HTTP 和 HTTPS 协议应该占据大部分流量；但如果发现大量的 ICMP 协议数据包，且其占比远超正常范围，可能就存在 ICMP Flood 攻击的嫌疑，攻击者通过发送大量的 ICMP Echo 请求包，试图耗尽目标服务器的资源 。

观察时间分布

在包列表窗格中，我们可以通过时间戳来观察数据包的时间分布情况 。点击包列表窗格的 “Time” 列标题，可以按照时间升序或降序排列数据包 。通过这种方式，我们能发现网络流量在不同时间段的变化趋势。比如，是否存在某个时间段内流量突然激增的情况，如果有，很有可能在这个时间段内发生了异常事件，比如攻击行为的开始。可以使用 Wireshark 的时间选择工具（在包列表窗格的时间轴上拖动鼠标），选中特定时间段内的数据包，进一步分析这段时间内的网络通信细节 。例如，在一次针对 Web 服务器的暴力破解攻击中，攻击者会在短时间内发送大量的登录请求数据包，通过观察时间分布，就能明显看到在某个时间段内，来自同一 IP 的登录请求数据包呈密集状态 。
[此处插入初步观察流量的相关截图，如显示数据包数量的状态栏截图、协议分层统计窗口截图、包列表窗格按时间排序后的截图]

利用过滤器筛选数据

在初步观察流量后，我们需要进一步利用 Wireshark 4.4.5 的过滤器功能，筛选出与攻击 IP 相关的数据，以便更有针对性地进行分析。

协议过滤

协议过滤是一种基础且常用的筛选方式，它能够让我们聚焦于特定协议的数据包，从而快速定位与攻击相关的协议类型。在 Wireshark 的界面中，找到位于顶部的过滤器输入框 。如果我们怀疑攻击是通过 TCP 协议进行的，比如常见的 TCP SYN Flood 攻击，攻击者通过发送大量的 TCP SYN 包来耗尽目标服务器的连接资源 。此时，在过滤器输入框中输入 “tcp”，然后点击右侧的 “Apply” 按钮（或者直接按下回车键），Wireshark 将立即只显示 TCP 协议的数据包 ，其他协议的数据包会被暂时隐藏。同样，如果攻击涉及 UDP 协议，例如 UDP Flood 攻击，攻击者向目标端口发送大量 UDP 数据包，导致网络拥塞，我们只需在过滤器框中输入 “udp” 并应用，就能筛选出 UDP 协议的数据包 。通过这种方式，我们可以快速将注意力集中在可能与攻击相关的协议流量上，排除其他不相关协议的干扰 。

IP 地址过滤

IP 地址过滤是定位攻击 IP 的关键步骤，通过设置源 IP 或目的 IP 过滤条件，可以精准筛选出与攻击 IP 相关的数据包 。假设我们已经获取到了疑似攻击 IP 地址，比如 192.168.1.100 。如果要筛选出从这个 IP 地址发出的数据包（即源 IP 为攻击 IP），在过滤器输入框中输入 “ip.src == 192.168.1.100” 。这里，“ip.src” 表示源 IP 地址，“==” 是比较运算符，表示等于，后面跟上具体的 IP 地址。如果要筛选出目标是这个 IP 地址的数据包（即目的 IP 为攻击 IP），则输入 “ip.dst == 192.168.1.100” ，“ip.dst” 代表目的 IP 地址 。此外，还可以使用 “ip.addr” 来同时匹配源 IP 和目的 IP，例如 “ip.addr == 192.168.1.100”，这样能筛选出所有涉及该 IP 地址的数据包，无论是作为源还是目的 。通过这些 IP 地址过滤条件，我们可以迅速从大量数据包中提取出与攻击 IP 直接相关的通信数据 。

综合过滤

实际的网络攻击场景往往较为复杂，单一的过滤条件可能无法满足精准定位的需求 。这时，我们可以结合逻辑运算符，组合多个过滤条件，实现更强大的综合过滤功能 。逻辑运算符主要有 “and”（与）、“or”（或）、“not”（非） 。例如，我们怀疑攻击是通过 TCP 协议，从 IP 地址 192.168.1.100 向目标服务器的 80 端口发起的，那么可以在过滤器输入框中输入 “tcp and ip.src == 192.168.1.100 and tcp.dstport == 80” 。这个过滤条件表示：筛选出 TCP 协议，并且源 IP 地址是 192.168.1.100，同时目的端口是 80 的数据包 。“and” 运算符要求所有条件都必须满足 。再比如，如果我们要筛选出源 IP 是 192.168.1.100 或者 192.168.1.101 的 UDP 数据包，可以输入 “udp and (ip.src == 192.168.1.100 or ip.src == 192.168.1.101)” ，这里使用括号来明确逻辑关系，“or” 运算符表示只要满足其中一个条件即可 。如果要排除某个 IP 地址的数据包，比如不想看到源 IP 是 192.168.1.100 的数据包，可以使用 “not” 运算符，输入 “not ip.src == 192.168.1.100” 。通过灵活运用这些逻辑运算符和多种过滤条件的组合，我们能够根据具体的攻击场景和已知信息，精准定位到攻击 IP 相关的数据 。
[此处插入利用过滤器筛选数据的相关截图，如协议过滤设置及结果截图、IP 地址过滤设置及结果截图、综合过滤设置及结果截图]

分析攻击迹象

在通过过滤器筛选出相关数据后，接下来就需要深入分析这些数据，寻找其中的攻击迹象，从而确定攻击 IP 的具体行为和攻击类型。

异常流量特征

• 大量重复请求：在筛选后的数据包中，如果发现某个 IP 频繁地向同一目标 IP 发送相同的请求，例如在短时间内，源 IP 为 192.168.1.100 向目标 IP 192.168.1.200 发送了数百次甚至数千次相同的 HTTP GET 请求，这很可能是一种攻击行为 ，比如攻击者可能试图通过这种方式耗尽目标服务器的资源，导致正常用户无法访问，这属于典型的 DoS（拒绝服务）攻击的一种表现形式 。

• 异常数据包大小：正常的数据包大小通常符合一定的规律，不同协议的数据包都有其常见的大小范围 。但如果出现数据包大小异常的情况，就需要警惕。例如，TCP 数据包的正常大小一般在几十字节到一千多字节不等，如果发现有 TCP 数据包大小达到数兆字节，远远超出正常范围，这可能是攻击者故意构造的超大数据包，用于进行碎片攻击，通过发送超大的、需要分片的数据包，使目标设备在处理这些分片时出现错误，进而导致系统崩溃或服务中断 。

• 未知协议：当在数据包中检测到不常见或未知的协议时，这往往是一个危险信号 。在正常的网络通信中，常见的协议如 TCP、UDP、HTTP、HTTPS 等占据主导地位 。但如果发现一些自定义的、未公开的协议，且这些协议的通信量在短时间内突然增加，很可能是攻击者利用这些未知协议进行隐蔽的攻击，因为目标设备可能无法正确识别和处理这些协议，从而为攻击者创造可乘之机 。

查看数据包内容

• 恶意软件指纹：深入分析数据包的内容，查找是否存在恶意软件的特征指纹 。恶意软件在传播和执行过程中，会在数据包中留下一些特定的标识 。例如，某些病毒在感染目标设备时，会通过网络发送包含特定代码片段的数据包，这些代码片段就可以作为指纹 。在 Wireshark 中，可以通过查看数据包的十六进制数据或 ASCII 码内容，搜索已知的恶意软件指纹数据库 。如果发现数据包中包含与恶意软件指纹匹配的内容，就可以确定该数据包与恶意软件相关，进而追踪攻击 IP 的来源和传播路径 。

• 攻击脚本：一些攻击行为是通过执行攻击脚本实现的，这些脚本也会在数据包中有所体现 。比如，在 Web 应用攻击中，攻击者可能会利用 SQL 注入攻击脚本，通过 HTTP 请求数据包将恶意的 SQL 语句发送到目标 Web 服务器 。在 Wireshark 中，通过查看 HTTP 协议的数据包内容，搜索类似 “' OR 1=1 --” 这样的典型 SQL 注入攻击语句，如果发现此类内容，就表明该数据包可能是一次 SQL 注入攻击尝试，从而可以确定攻击 IP 的存在及其攻击行为 。

关注连接行为

• 连接尝试次数：观察攻击 IP 的连接尝试次数也是判断攻击行为的重要依据 。如果一个 IP 在短时间内对大量不同的目标 IP 或端口进行连接尝试，远远超出正常的业务需求，这很可能是一种扫描行为，攻击者通过这种方式来探测目标网络中哪些 IP 和端口是开放的，为后续的攻击做准备 。例如，在几分钟内，IP 地址 192.168.1.100 对 100 个不同的 IP 地址的 22 端口（SSH 服务端口）进行连接尝试，这明显超出了正常的连接行为，极有可能是攻击者在进行 SSH 弱口令扫描，试图找到存在弱密码的 SSH 服务，以便进一步入侵系统 。

• 数据传输模式：正常的网络连接在数据传输时通常有一定的模式和规律 。例如，在 HTTP 协议中，客户端发送请求后，服务器会在合理的时间内返回响应 。但如果发现数据传输模式异常，比如只有大量的请求数据包发出，却很少有响应数据包返回，或者响应数据包的大小和内容与正常情况差异较大，这可能表示存在攻击行为 。比如，在一次针对 Web 服务器的攻击中，攻击者发送大量的 HTTP POST 请求，但服务器返回的响应都是错误页面或超时信息，这表明攻击者可能正在进行恶意的请求发送，试图干扰服务器的正常运行 。

[此处插入分析攻击迹象的相关截图，如显示大量重复请求的数据包截图、异常数据包大小的截图、包含恶意软件指纹或攻击脚本的数据包截图、连接尝试次数异常的统计截图、异常数据传输模式的截图]

确定攻击 IP

经过前面的分析，我们已经从众多数据中获取了关键的攻击迹象，现在就可以根据这些迹象来锁定攻击 IP 了。当发现大量重复的 HTTP 请求来自 IP 地址 192.168.1.100，并且这些请求的时间间隔非常短，远远超出正常的业务访问频率，同时目标服务器也出现了资源耗尽、响应缓慢的情况，那么我们就可以初步判断 192.168.1.100 为攻击 IP 。因为正常的用户访问不会在如此短的时间内发送如此多相同的请求，这种行为符合 DoS 攻击的特征，所以这个 IP 极有可能就是攻击者的 IP 地址 。
再比如，在分析数据包内容时，发现包含恶意软件指纹的数据包都来自 IP 地址 192.168.1.101，而这些恶意软件指纹与已知的某种病毒的特征完全匹配 。根据这一关键线索，我们可以确定 192.168.1.101 就是传播恶意软件的攻击 IP 。因为只有攻击者才会发送携带恶意软件的数据包，试图感染目标设备，所以通过这种方式能够精准地锁定攻击 IP 。
此外，如果观察到某个 IP 在短时间内对大量不同的目标 IP 和端口进行连接尝试，如 IP 地址 192.168.1.102 在几分钟内对 100 个不同的 IP 地址的 22 端口进行连接尝试 。这种异常的连接行为明显超出了正常的网络活动范围，很可能是攻击者在进行端口扫描，以寻找可入侵的目标 。因此，我们可以将 192.168.1.102 确定为攻击 IP 。通过综合分析这些异常流量特征、数据包内容以及连接行为等方面的信息，我们能够从复杂的网络数据中准确地确定攻击 IP ，为后续的应对措施提供有力的依据 。

总结与拓展

通过以上步骤，我们利用 Wireshark 4.4.5 完成了对 cap 文件中攻击 IP 的分析。从安装软件、获取并打开 cap 文件，到初步观察流量、利用过滤器筛选数据，再到深入分析攻击迹象并最终确定攻击 IP，每一个环节都至关重要，环环相扣 。这一过程不仅展现了 Wireshark 4.4.5 在网络安全分析中的强大功能，也体现了网络分析工作的严谨性和复杂性 。
Wireshark 的应用场景十分广泛，在网络故障排查时，它能帮助我们定位网络延迟、丢包的原因；在网络性能优化方面，可通过分析流量找出性能瓶颈；在网络协议研究中，能深入剖析各种协议的运行机制 。例如，在企业网络中，当出现网络访问缓慢的问题时，使用 Wireshark 分析数据包，可能发现是某些设备产生了大量无效的广播包，占用了网络带宽，导致正常业务受到影响 。通过采取相应措施，如优化网络拓扑、配置 VLAN 等，就能有效解决问题 。
希望大家通过这篇文章，对使用 Wireshark 4.4.5 分析 cap 文件中攻击 IP 有了清晰的认识。同时，也鼓励大家进一步探索 Wireshark 在更多网络分析场景中的应用，不断提升自己的网络技术水平，为保障网络安全和优化网络性能贡献自己的力量 。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。