多文件连续保存 || 定时器中断
1、路径:Capture -> Options,在Output中新建一个文件,用来保存wireshark数据包
2、多文件连续保存的作用,是在抓取大型网络环境情况下,或者抓视频流情况,如果不多文件保存,抓一会可能包就会超过内存上限,爆表。
3、通过勾选下面三类选项:按抓包数量、按包文件大小、按抓取时间,决定用什么方式多文件连续保存。
4、下方还有一个ring buffer with [ ] files,即抓几个包后轮询,新包覆盖旧包
5、在Options页面,有一个Stop capture automatically after。是一个定时器,即限定多少条件下,抓包自动停止。
6、两种功能可以同时执行,逻辑复杂度增加,不怎么用,还是应该按需求选择功能。
抓包部分设置
抓包过程-显示设置(Display Opyion)
1、实时更新:Update list of packets in real-time
2、自动滚动:Automatically scroll during live capture
3、抓包时,显示实时捕获信息:Show capture information during live capture
- 但是这种实时图形显示功能,在抓大数据流十分消耗系统资源or内存资源。
-
越想节省资源,打的勾越少,没有也行就是啥都不显示呗,等点击停止之后,界面再显示List情况。
显示部分设置
过滤器
过滤器有两种,一种是抓包过滤器,即只抓特定的包。另一种是显示过滤器,所有包都抓,但是按照不同过滤规则显示。
不用死记硬背,但是基本逻辑要清楚,用的时候去查表就好。
1、抓包过滤器,使用BPF语法(Berkeley Packet Filter)
- 类型Type:host, net, port
- 方向Dir:src, dst
- 协议Proto:ether, ip, tcp, udp, http, ftp等
- 逻辑运算符:&&与,||或,!非
举例说明:
-
src host 192.168.1.1 && dst port 80只抓取源地址为192.168.1.1并且目的地址为80端口的流量 -
host 192.168.1.1 || host 192.168.1.1抓取192.168.1.1和192.168.1.2的流量 -
!broadcast不抓取广播包
2、显示过滤器,流量不是很大的情况下,建议用显示过滤器,不会丢掉其他流量,还能看到特定流量,效果更好。
- 逻辑操作符用单词表示:and(两个条件都满足)、or(其中一个条件被满足)、xor(有且仅有一个条件被满足)、not(没有条件被满足)
- IP地址写法也与抓包过滤不同,ip.addr、ip.src、ip.dst
- 端口过滤:tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn、tcp.flag.ack(udp同理)
举例说明:
-
ip.addr == 192.169.1.1只显示ip地址为192.168.1.1的流量 -
ip.src == 192.168.1.100 and ip.dst == 58.250.135.156显示源地址为58.250.135.156且目的地址为58.250.135.156的流量 -
tcp.port == 80只要有80端口的流量就显示,不管是源地址还是目的地址
