本文介绍了Wireshark如何设置指定网卡接口的捕获过滤语句,例如使用"tcpport80"捕获HTTP流量。此外,讲解了"CompileBPFs"按键的功能,它显示捕获过滤语句的汇编代码以辅助理解。在输出选项中,可以设置永久保存捕获数据的文件路径和输出格式(pcapng或pcap)。同时,还讨论了根据不同条件自动创建新文件保存数据的选项,以及环形缓冲区的使用。
1.1.4 设置指定网卡接口的捕获过滤语句
在“Enable promiscuous mode on all interfaces”选项的下面,是“Capture filter for seleted interfaces:”输入框,在该输入框中可以设置指定网卡接口的捕获过滤语句,如图7所示。
图7 设置指定网卡的捕获过滤语句
从图7中可以看到,首先在网卡接口列表中选中要设置的网卡接口,之后输入捕获过滤语句“tcp port 80”,点击“开始”按键之后,在WLAN上只捕获在80端口上的TCP数据包。
1.1.5 “Compile BPFs”按键
“Compile BPFs”的意思是“编译BPFs”,点击该按键,显示如图8所示的“编译的过滤器输出”对话框。
图8 “编译的过滤器输出”对话框
该对话框的作用是显示“1.1.4 设置指定网卡接口的捕获过滤语句”中提到的捕获过滤语句对应的汇编代码,通过该汇编代码,可以更好地理解捕获过滤语句。从图8中可以看到,左侧列表中是选中的网卡列表,右侧列表中是捕获过滤语句对应的汇编代码。
相关链接4:BPF是Berkeley Packet Filter即伯克利包过滤器的简称,其目的是为了提供一种过滤包的方法,并且要避免从内核空间到用户空间的无用的数据包复制行为。
1.1.6 开始监听
在图2“捕获选项”对话框中的网卡接口列表中选择要监听的网卡接口,之后点击右下角“开始”按键,Wireshark就会跳转到主界面,开始捕获数据。“Close”按键的作用是关闭“捕获选项”对话框,“Help”按键的作用是显示该对话框相关的帮助信息。
1.2 Output标签
点击图2“捕获选项”对话框中的“Output”标签,会显示如图9所示的对话框。
图9 output标签
1.2.1 指定保存数据的文件
图9中的“Capture to a permanent file”的意思是将捕获到的数据保存到一个永久的文件中,在下面的“文件”框中输入这个永久文件的绝对路径。默认情况下,Wireshark会将捕获到的数据保存到临时文件中,即此时“文件”框中为空,不指定永久文件。也可以通过右侧的“浏览”按键,选择永久文件。
1.2.2 输出格式
图9中的“Output format”表示输出格式,即用什么格式的文件来保存数据。有两种格式可以选择,pcapng和pcap。pcap格式是常用的网络数据报存储格式,数据是按照特定的格式进行存储的;pcapng是pcap Next Generation的简写,即pcap下一代文件格式,其保存数据的格式比pcap复杂。默认的文件格式是pcapng。
1.2.3 自动创建保存数据的新文件
图9中“Create a new file automatically”选项的作用是指定在什么情况下重新创建一个新文件来保存数据,列出了四个条件,分别是在捕获了指定的数据包后创建新文件;在当前文件的大小变为指定大小后创建新文件;在经过了指定时间后创建新文件以及在指定的挂钟时间之后创建新文件。
相关链接5 挂钟时间,即Wall Clock Time,指的是进程从开始到结束,时钟走过的时间,这其中包含了进程在阻塞和等待状态的时间。
1.2.4 使用ring buffer
图9中的“ring buffer”指的是环形缓冲区,是一种用于表示一个固定尺寸、头尾相连的缓冲区的数据结构。环形缓冲区主要用于多文件中。该选项指定了在几个文件中使用环形缓冲区。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
