![9c2e2b2947ef98b68982159466c6c27f.gif](https://img-blog.csdnimg.cn/img_convert/9c2e2b2947ef98b68982159466c6c27f.gif)
一、抓包
拿到一个网络包时,我们总是希望它是尽可能小的。操作一个大包相当费时,有时甚至会死机。如果让初学者分析1GB以上的包,估计会被打击得信心全无。所以抓包时应该尽量只抓必要的部分。
1.只抓包头。一般能抓到的每个包的最大长度为1514字节,启用了Jumbo Frame(巨型帧)之后可达9000字节以上,而大多数时候我们只需要IP头或者TCP头就足够分析了。在Wireshark上可以这样抓到包头:单击菜单栏上的Capture-->Options,然后在弹出的窗口上定义“Limit each packet to”的值。我一般设个偏大的数字:80字节,也就是说每个包只抓前80字节。这样TCP层、网络层和数据链路层的信息都可以包括在内(见图1)。
![54248e95574035393a4f05b5841197ae.png](https://img-blog.csdnimg.cn/img_convert/54248e95574035393a4f05b5841197ae.png)
图1
如果问题涉及应用层,就应该再加上应用层协议头的长度。如果你像我一样经常忘记不同协议头的长度,可以输入一个大点的值。即便设成200字节,也比1514字节小多了。
以上是使用Wireshark抓包