我们都知道Wireshark是个强大的网络抓包工具,但是现在网络中的数据实在太多,一开抓包没几分钟就内存爆了,而我们真正想要的数据包只占一点点,所以Wireshark在真实环境中抓包必须要开启前置过滤功能。
前置过滤:在Wireshark里叫捕获过滤器,表达式作用在wireshark开始捕获数据包之前,只捕获符合条件的数据包。
一定要先选中 你要过滤网卡,然后再点击过滤器。一般物联网数据都是往某个特定端口上发送,选取端口过滤就行
设置完之后直接开始 可以看到数据包就会很少:
数据过滤就设置完成了。
日志保存: Wireshark提供了完善的日志保存功能,能按时间,包大小,数据包个数等存日志,前置过滤为前提。
前置过滤
日志保存规则
存下来的日志 Wireshark 自动按照时间命名文件。日志后续可以直接用Wireshark 打开进行一步步过滤显示,也可以直接拿Python等脚本处理,得到我们自己想要分析的数据。
