第 章 实时捕捉数据包.doc

第?4?章?实时捕捉数据包 4.1.?介绍 实时捕捉数据包时Wireshar的特色之一 Wiershark捕捉引擎具备以下特点 支持多种网络接口的捕捉(以太网，令牌环网，ATM...) 支持多种机制触发停止捕捉，例如：捕捉文件的大小，捕捉持续时间，捕捉到包的数量... 捕捉时同时显示包解码详情 设置过滤，减少捕捉到包的容量。见第?4.8?节 “捕捉时过滤” 长时间捕捉时，可以设置生成多个文件。对于特别长时间的捕捉，可以设置捕捉文件大小罚值，设置仅保留最后的N个文件等手段。见第?4.6?节 “捕捉文件格式、模式设置” Wireshark捕捉引擎在以下几个方面尚有不足 从多个网络接口同时实时捕捉，(但是您可以开始多个应用程序实体，捕捉后进行文件合并) 根据捕捉到的数据停止捕捉(或其他操作) 4.2.?准备工作 第一次设置Wireshark捕捉包可能会遇到一些小麻烦 提示 关于如何进行捕捉设置的较为全面的向导可以在:/CaptureSetup. 12] 必须选择正确的网络接口捕捉数据 如果您想捕捉某处的通信，你必须作出决定：在什么地方可以捕捉到 ……以及许多 如果你碰到设置问题，建议看看前面的那个向导，或许会有所帮助 4.3.?开始捕捉 可以使用下任一方式开始捕捉包 使用打开捕捉接口对话框，浏览可用的本地网络接口，见图?4.1 “Capture Interfaces捕捉接口对话