Wireshark入门手册(中)

多文件连续保存 || 定时器中断

1、路径:Capture -> Options,在Output中新建一个文件,用来保存wireshark数据包
2、多文件连续保存的作用,是在抓取大型网络环境情况下,或者抓视频流情况,如果不多文件保存,抓一会可能包就会超过内存上限,爆表。
3、通过勾选下面三类选项:按抓包数量、按包文件大小、按抓取时间,决定用什么方式多文件连续保存。
4、下方还有一个ring buffer with [ ] files,即抓几个包后轮询,新包覆盖旧包
5、在Options页面,有一个Stop capture automatically after。是一个定时器,即限定多少条件下,抓包自动停止。
6、两种功能可以同时执行,逻辑复杂度增加,不怎么用,还是应该按需求选择功能。


Wireshark入门手册(中)_第1张图片
抓包部分设置
抓包过程-显示设置(Display Opyion)

1、实时更新:Update list of packets in real-time
2、自动滚动:Automatically scroll during live capture
3、抓包时,显示实时捕获信息:Show capture information during live capture

  • 但是这种实时图形显示功能,在抓大数据流十分消耗系统资源or内存资源。
  • 越想节省资源,打的勾越少,没有也行就是啥都不显示呗,等点击停止之后,界面再显示List情况。


    Wireshark入门手册(中)_第2张图片
    显示部分设置
过滤器

过滤器有两种,一种是抓包过滤器,即只抓特定的包。另一种是显示过滤器,所有包都抓,但是按照不同过滤规则显示。
不用死记硬背,但是基本逻辑要清楚,用的时候去查表就好。
1、抓包过滤器,使用BPF语法(Berkeley Packet Filter)

  • 类型Type:host, net, port
  • 方向Dir:src, dst
  • 协议Proto:ether, ip, tcp, udp, http, ftp
  • 逻辑运算符:&&与,||或,!非

举例说明:

  1. src host 192.168.1.1 && dst port 80 只抓取源地址为192.168.1.1并且目的地址为80端口的流量
  2. host 192.168.1.1 || host 192.168.1.1 抓取192.168.1.1和192.168.1.2的流量
  3. !broadcast 不抓取广播包

2、显示过滤器,流量不是很大的情况下,建议用显示过滤器,不会丢掉其他流量,还能看到特定流量,效果更好。

  • 逻辑操作符用单词表示:and(两个条件都满足)、or(其中一个条件被满足)、xor(有且仅有一个条件被满足)、not(没有条件被满足)
  • IP地址写法也与抓包过滤不同,ip.addr、ip.src、ip.dst
  • 端口过滤:tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn、tcp.flag.ack(udp同理)

举例说明:

  1. ip.addr == 192.169.1.1 只显示ip地址为192.168.1.1的流量
  2. ip.src == 192.168.1.100 and ip.dst == 58.250.135.156 显示源地址为58.250.135.156且目的地址为58.250.135.156的流量
  3. tcp.port == 80 只要有80端口的流量就显示,不管是源地址还是目的地址

你可能感兴趣的:(Wireshark入门手册(中))