wireshark 包中文件恢复_使用wireshark抓包分析抓包实用技巧

最新推荐文章于 2024-07-25 08:50:21 发布
最新推荐文章于 2024-07-25 08:50:21 发布
阅读量1.1k 收藏 2
点赞数
文章标签: wireshark 包中文件恢复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34158442/article/details/113325424
版权
本文详细介绍了Wireshark的使用方法,包括自定义捕获条件、命令行抓包、抓包分析等。通过命令行工具dumpcap和tshark,可以实现高效、低内存占用的抓包,并进行批量分析和文件合并,适用于长时间抓包和异常流量检测。
摘要由CSDN通过智能技术生成

前言

本文整理一下日常抓包使用的一些方法及抓包分析的一些方法。

本文基于wireshark2.2.6版本进行抓包处理。其他版本使用方式大同小异。

自定义捕获条件

wireshark可以将抓包数据保存到硬盘上。若需要长时间抓包的话,需要防止内存过大,因此一般需要指定一定大小切包,释放内存。

捕获-选项菜单中可以设置捕获包的一些配置。

输入配置

76c36b3d7749dadd088847e35a8379bf.png

输入选项卡中可以选择抓取指定接口,在下方过滤器中可以输入过滤条件,比如host 172.17.1.100抓取指定ip的包,或tcp port 9055抓取指定端口的包。

输出配置

0e0f8f69f4a940fb4e12b9b4f769fdee.png

输出选项卡中可以设置保存的文件路径,包数量分组,文件大小分组,文件个数等配置。

1. 文件保存路径:需要设置具体的文件名,wireshark会自动在文件名后加上序号和时间戳信息。比如文件名为1.pcapng,则会自动保存为如1_00001_20190625161142.pcapng的文件名。

2. 自动创建新文件可以通过接收到包的数量和大小以及抓包时间进行设置,通常通过文件大小抓包即可。

3. 文件个数:通过勾选使用一个唤醒缓冲器来保存最大的文件数量。防止文件过多

选项选项卡中还有一些其他的配置,根据实际情况决定是否勾选。

命令行抓包

wireshark提供了很强大的GUI界面,但是在生产环境长时间抓包使用GUI界面有以下问题:

界面刷新需要消耗资源,且GUI界面相比命令行界面,易出现闪退,卡死等不稳定现象。

同时即使配置了切包,也会占用极大的内存,需要将包信息显示在界面,因此必须要等每次切包后才能释放内存。

相比命令行将数据持久化到硬盘上会立即释放内存,因为界面上只需要显示简单的抓包数量和文件保存路径等信息。

下图是通过GUI界面进行抓包的内存占用情况,配置的是100M切一个文件,一般需要占用几百兆的内存。

6d443c6c4434c888acf687c4d4c53cdb.png

下图是通过命令行抓包的内存占用情况,配置的是100M切一个文件,仅仅占用几兆内存。

05a5a5e5bf8eddc06b042736017486a1.png

wireshark安装目录除了wireshark用于GUI界面的抓包程序以外还有一些其他的工具。

比如reordercap、text2pcap、tshark、rawshark、mergecap、mmdbresolve、capinfos、dumpcap、editcap等

其中tsharkdum

最低0.47元/天 解锁文章
我偏不起名字
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SIP呼叫流程分析Wireshark抓包.rar_sip_sip呼叫抓包_wireshark_wireshark抓sip包_联
09-23
通过上述的SIP呼叫流程分析Wireshark抓包实践,你可以深入理解SIP协议的工作原理,并掌握网络封包分析技巧,这对于开发、调试VoIP系统和解决通信问题至关重要。在实际的联合开发项目中,这种技能能够帮助团队快速...
wireshark恢复默认列
OceanStar的博客
11-26 3977
wireshark的列如果被设置混乱了,如何恢复windows平台 1、 2、 3、删除 profiles文件夹之外的文件(先备份,以便有问题恢复
wireshark文件还原
qq_61947585的博客
10-22 3062
wireshark抓取手机QQ发送给电脑的文件,并将其复现
wireshark10个抓包技巧(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
07-25 2466
w 保存的文件路径及文件名称;强大的Wireshark还是有招应对的,“统计”“会话”,分别按数据包个数和字节大小统计,很快可以看到是哪些ip地址之间的流量是最大的,后续重点排查这些ip即可,如下图,10.63.16.77和10.88.14.119流量是最大的。Wireshark中流量图工具,就可以帮助完成这个画图标注过程,打开抓包文件后,“统计”“流量图”,“显示”选“显示的分组”,如下图,对比标准radius协议交互过程就能清晰看出哪个过程有问题。@网 络 工 程 师 俱 乐 部。
WireShark首选项设置
qq_43776408的博客
10-14 2890
修改软件底层的一些设置 编辑---首选项 以下都是系统级别的设置 1.修改默认打开目录 Apperance----打开文件夹中的文件-----该文件夹 2.Apperance-----clo可以修改列 3.Name Resolution:之前只显示IP,修改之后可显示MAC和域名等等 就是解析的结果变多了,更详细了 4.Apperance-----Layout:设置布局 5.protoc...
Wireshark零基础使用教程(超详细)
Karka_的博客
07-11 1420
菜单栏:用于调试、配置工具栏:常用功能的快捷方式过滤栏:指定过滤条件,过滤数据包数据包列表:核心区域,每一行就是一个数据包数据包详情:数据包的详细数据数据包字节:数据包对应的字节流,二进制。
超详细的 Wireshark 使用教程
ss810540895的博客
12-14 7307
菜单栏:用于调试、配置工具栏:常用功能的快捷方式过滤栏:指定过滤条件,过滤数据包数据包列表:核心区域,每一行就是一个数据包数据包详情:数据包的详细数据数据包字节:数据包对应的字节流,二进制说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏 视图 --> 着色规则。如下所示WireShark 主要分为这几个界面。
# Wireshark 抓包分析介绍说明、使用技巧和优缺点
04-26
### Wireshark 抓包分析介绍说明、使用技巧和优缺点 #### Wireshark 是什么? Wireshark,作为一款强大的开源网络协议分析工具,它不仅具备捕捉网络数据包的功能,还能对这些数据包进行深入细致的分析。无论是在...
C#使用TCP/UDP协议通信并用Wireshark抓包分析数据
02-24
本文章主要讲述使用VS2019编写C#程序,并通过UDP/TCP进行通信,使用Wireshark抓包软件抓取发送的包并分析数据结构,由于涉及到客户端和通信端,可以使用两台电脑,一台电脑编写客户端代码,一台电脑编写服务器端代码...
abc.rar_C语言抓包_abc命令_c语言 wireshark_抓包
09-21
抓包工具通常会将捕获的数据包保存到文件,供后期分析。C语言实现可能需要处理文件读写,包括创建、追加、读取pcap格式的文件,这是网络数据分析的标准格式。 综上所述,这个"abc.rar"包含了一个C语言实现的命令行...
wireshark基本界面操作
MaFibonacci的博客
05-12 593
1.修改抓取的列名 2.查看log_查询电脑IP地址 3.增加抓包的列 4.设置时间节点 5.修改列的时间显示方式 6.显示或者隐藏列 7.解释IP,查看数据的去向 命令: 显示过滤器: ip.src== 192.168.1.106&&dns (抓取发送端口ip为192.168.1.106且发出为DNS的数据) ip.dst== 192.168.1.106(抓取发送到192.168.1.106的数据) ...
TCP Win=0,Len=0
farmwang的专栏
06-20 1万+
接受端回应发送端中的win大小表示接受端还能够接受多少数据,发送端下次发送的数据大小不能超过回应中win的大小 win大小为0,表示接收端不能够再接受数据。
Wireshark
mg1123的博客
11-04 1288
通过比对某节点进出两侧的抓包的IP报文中经节点转发后保持不变的identification字段,或者利用TCP通信的SEQ及ACK序列号分析节点或链路丢包情况,可分析判断转发报文的设备(路由。有时候我们需要导出多个数据包,Wireshark有一个导出标记的数据包的功能,我们将需要导出的数据包都标记起来,就可以同时导出多个数据包。局域网的所有流量都会发送给我们的电脑,默认情况下,我们的电脑只会对自己mac的流量进行。数据包列表是最常用的模块之一,列表中有一些默认显示的列,我们可以添加、删除、修改显示。
一次wireshark工具分析问题记录
八角塘塘主的博客
04-15 1628
我们的项目中会有一个获取任务执行状态的功能使用 HttpClient,一秒钟请求一次,经常会出现 Conection Reset 异常。经过分析发现,问题是出在 HttpClient 的每次请求都会新建一个连接,当创建连接的频率比关闭连接的频率大的时候,就会导致系统中产生大量处于 TIME_CLOSED 状态的连接,这个时候使用连接池复用连接就能解决这个问题。本次记录一条数据的传输过程。**信号:[SYN, ACK] Seq=0 Ack=1 ****信号:[ACK] Seq=1 Ack=1 **
几种TCP连接中出现RST的情况
11-28 3334
目录[-] 1 端口未打开 2 请求超时 3 提前关闭 4 在一个已关闭的socket上收到数据 总结 参考文献: 应该没有人会质疑,现在是一个网络时代了。应该不少程序员在编程中需要考虑多机、局域网、广域网的各种问题。所以网络知识也是避免不了学习的。而且笔者一直觉得TCP/IP网络知识在一个程序员知识体系中必需占有一席之地的。 在TCP协议中RST表示复位,
网络抓包分析工具Wireshark的下载、安装和使用
热门推荐
微末观星
03-03 3万+
一、Wireshark下载 官网下载地址:https://www.wireshark.org/download.html,在谷歌浏览器地址栏输入官网网址 点击需要的版本就会开始下载安装包 二、Wireshark安装 双击下载的安装包Wireshark-win64-3.6.2.exe 默认点击:下一步 点击Noted 默认设置,点击:下一步 默认设置,点击下一步 修改安装路径,自定义,点击:下一步 默认设置,点击:下一步 默认设置,点击:Install 开始安装 安装过程中会提示安装Npca
Wireshark数据抓包还原文件
m0_73936732的博客
10-21 3750
Wireshark数据抓包还原文件
linux tcp rst,为什么在python中尝试TCP三路握手时系统要发送RST标志
weixin_34476159的博客
05-15 319
我想在我的ubuntu中创建一个TCP-3方式的握手。我在虚拟机中使用了kali-linux。在kalilinux的终端(IP-172.16.28.130)中,我以“监听”模式打开了一个端口,以获得与该机器的连接。在nc -l -p 1025我在ubuntu主机上运行的python代码^{pr2}$用wireshark抓包3 172.16.28.1 172.16.28.130 T...
TCP ------ TCP三次握手(建立连接)及其相关内容
dee53994040的博客
06-21 494
1、TCP客户端要连接到TCP服务器,需要经过三个过程: 以下是通过 Wireshark 抓取的三次握手数据包 No Time Source Destination Protocal Length Info 505244 28619.472565 192.168.123.41 ...
Wireshark抓包分析Telnet协议:揭示用户名与密码
"该文档详述了一次使用WireShark工具对Telnet协议进行抓包分析的实战过程,包括如何捕获和解析 Telnet 的用户名和密码,以及 Telnet 协议的基础知识。" WireShark是一款强大的网络封包分析软件,常用于网络故障排查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值