1. 只抓包头 来减少最后抓取的包大小
老版本: limit each packet to 80或者200 bytes
新版本:Option >>> Interface>>>Snaplen(B) 把default改成80或者200.
Tcpdump:
用 tcpdump 进行抓包时,使用 -s 0 参数表示抓包的长度没有限制,否则默认抓取的长度为 68 或 96Byte。例如:$ tcpdump -i eth0 -s 0 -w 1.cap
或者 #tcpdump -I eth0 -s 80 -w /tmp/tcpdump.cap
2. 只抓必要的包
在对应网卡接口的Capture框里输入比如host 192.168.1.100,就可以只抓IP地址为192.168.1.100的包。
扩展阅读:https://wiki.wireshark.org/capturefilters
Tcpdump:
tcpdump -i eth0 host 192.168.1.100 -w /tmp/tcpdump.cap
3. 为抓包的每步操作打上标记,方便查看
1)ping 1.1.1.1 -n 1 -l 1
2) 操作步骤1
3)ping 1.1.1.1 -n 1 -l 2
4)操作步骤2
5) ping 1.1.1.1 -n 1 -l 3
最终根据抓包里显示的byte数,来确定是第几步。
3. 编写脚本定期或者触发抓包
4. 过滤
1)协议名称过滤
直接可在过滤方框里输入协议名称,比如windows域的身份验证有问题,可过滤协议Kerbeores。
可能协议有互相依赖关系,需要考虑多个协议,例如:http || ftp
2) IP 地址加端口号过滤
过滤方框里输入例如:tcp.80。
或者右键点击感兴趣的包,选择Follow TCP/UDP Stream,可以自动过滤。
3)鼠标右击感兴趣内容来过滤
鼠标右击后选择“Prepare a Filter >>> Selected”或者“Apply as Filer >>>Selected”,还可以选择and, or。
5. Wireshark自动分析
1)Analyze>>> Epert info Composite 看到重传统计,连接建立和重置统计。
2)Statistics>>>Service Response Time 只有几个协议可选。
3)Statistics>>> TCP Stream Graph 可以生成统计图,多少时间传输了多少数据。
4)Statistics>>> Capture File Properties可查看统计信息。
5)Ctrl + F可以像查找文本一样定位。