[[358627]]

 之前介紹完wireshark軟件菜單欄地Edit，F(xiàn)iles/Views本次繼續(xù)介紹菜單Capture。

抓包(Capture)，開(kāi)始抓包以及抓包后對(duì)數(shù)據(jù)的處理設(shè)置，主要關(guān)注options

wireshark抓包選項(xiàng)

進(jìn)入Options窗口后有以下幾個(gè)選項(xiàng)：

1.1 輸入(Input)

輸入接口選項(xiàng)

1.1.1 顯示出來(lái)的輸入接口，選擇通過(guò)該接口進(jìn)行數(shù)據(jù)抓包，點(diǎn)擊可以看到接口的ip地址、流量、以及過(guò)濾信息等;

1.1.2 網(wǎng)卡的雜合模式，類似vm的網(wǎng)卡里的雜合模式;

1.1.3 管理網(wǎng)卡。通過(guò)勾選常用的抓包網(wǎng)卡，以便在①里快速的篩選，例如我電腦裝了很多虛擬機(jī)和虛擬網(wǎng)絡(luò)等，有大量的網(wǎng)卡，不利于選擇：

配置常用輸入接口

1.1.4 過(guò)濾規(guī)則，后面再詳細(xì)地分享wireshark的過(guò)濾規(guī)則語(yǔ)法，也是wireshark最有魅力的地方。

1.2 輸出(output)

輸出相關(guān)配置

1.2.1 輸出選項(xiàng)卡;

1.2.2 保存抓包文件的目錄;

1.2.3 抓包文件的格式化方式;

1.2.4 重新創(chuàng)建抓包的文件。如果不勾選，wireshark一旦開(kāi)始抓包會(huì)一直寫(xiě)入到抓包文件，會(huì)導(dǎo)致數(shù)據(jù)包過(guò)大，并且很多時(shí)候并不需要完整數(shù)據(jù)包，因?yàn)榭梢怨催x下面的選項(xiàng)來(lái)重新覆蓋。對(duì)應(yīng)的選項(xiàng)分別是：抓到10000個(gè)包、數(shù)據(jù)包到到達(dá)1K、抓去1分鐘、當(dāng)時(shí)間是1小時(shí)的整數(shù)倍;

1.2.5 使用5個(gè)文件循環(huán)覆蓋，一般和④配合使用。例如，滿足200個(gè)數(shù)據(jù)包，循環(huán)五個(gè)文件循環(huán)覆蓋，

循環(huán)覆蓋抓包文件

抓取一段時(shí)間后：文件夾始終保持5個(gè)文件，

查看保存的文件數(shù)量

每個(gè)文件只有設(shè)定的200個(gè)數(shù)據(jù)包：

查看保存的數(shù)據(jù)文件內(nèi)容

1.3 更多選項(xiàng)(Options)，對(duì)抓包的一些擴(kuò)展，如下圖：

更多選項(xiàng)

本次介紹了菜單欄的Capture選項(xiàng)，后面我們繼續(xù)研究其他菜單和功能。