一起學(xué)習(xí)Wireshark-1.1.3(數(shù)據(jù)包抓?。?/h1>
之前介紹完wireshark軟件菜單欄地Edit,F(xiàn)iles/Views本次繼續(xù)介紹菜單Capture。
抓包(Capture),開(kāi)始抓包以及抓包后對(duì)數(shù)據(jù)的處理設(shè)置,主要關(guān)注options

wireshark抓包選項(xiàng)
進(jìn)入Options窗口后有以下幾個(gè)選項(xiàng):
1.1 輸入(Input)

輸入接口選項(xiàng)
1.1.1 顯示出來(lái)的輸入接口,選擇通過(guò)該接口進(jìn)行數(shù)據(jù)抓包,點(diǎn)擊可以看到接口的ip地址、流量、以及過(guò)濾信息等;
1.1.2 網(wǎng)卡的雜合模式,類似vm的網(wǎng)卡里的雜合模式;
1.1.3 管理網(wǎng)卡。通過(guò)勾選常用的抓包網(wǎng)卡,以便在①里快速的篩選,例如我電腦裝了很多虛擬機(jī)和虛擬網(wǎng)絡(luò)等,有大量的網(wǎng)卡,不利于選擇:

配置常用輸入接口
1.1.4 過(guò)濾規(guī)則,后面再詳細(xì)地分享wireshark的過(guò)濾規(guī)則語(yǔ)法,也是wireshark最有魅力的地方。
1.2 輸出(output)

輸出相關(guān)配置
1.2.1 輸出選項(xiàng)卡;
1.2.2 保存抓包文件的目錄;
1.2.3 抓包文件的格式化方式;
1.2.4 重新創(chuàng)建抓包的文件。如果不勾選,wireshark一旦開(kāi)始抓包會(huì)一直寫(xiě)入到抓包文件,會(huì)導(dǎo)致數(shù)據(jù)包過(guò)大,并且很多時(shí)候并不需要完整數(shù)據(jù)包,因?yàn)榭梢怨催x下面的選項(xiàng)來(lái)重新覆蓋。對(duì)應(yīng)的選項(xiàng)分別是:抓到10000個(gè)包、數(shù)據(jù)包到到達(dá)1K、抓去1分鐘、當(dāng)時(shí)間是1小時(shí)的整數(shù)倍;
1.2.5 使用5個(gè)文件循環(huán)覆蓋,一般和④配合使用。例如,滿足200個(gè)數(shù)據(jù)包,循環(huán)五個(gè)文件循環(huán)覆蓋,
循環(huán)覆蓋抓包文件
抓取一段時(shí)間后:文件夾始終保持5個(gè)文件,
查看保存的文件數(shù)量
每個(gè)文件只有設(shè)定的200個(gè)數(shù)據(jù)包:

查看保存的數(shù)據(jù)文件內(nèi)容
1.3 更多選項(xiàng)(Options),對(duì)抓包的一些擴(kuò)展,如下圖:

更多選項(xiàng)
本次介紹了菜單欄的Capture選項(xiàng),后面我們繼續(xù)研究其他菜單和功能。