第4章实时捕捉数据包.docVIP

第?4?章?实时捕捉数据包 4.1.?介绍 实时捕捉数据包时Wireshar的特色之一 Wiershark捕捉引擎具备以下特点 支持多种网络接口的捕捉(以太网，令牌环网，ATM...) 支持多种机制触发停止捕捉，例如：捕捉文件的大小，捕捉持续时间，捕捉到包的数量... 捕捉时同时显示包解码详情 设置过滤，减少捕捉到包的容量。见第?4.8?节 “捕捉时过滤” 长时间捕捉时，可以设置生成多个文件。对于特别长时间的捕捉，可以设置捕捉文件大小罚值，设置仅保留最后的N个文件等手段。见第?4.6?节 “捕捉文件格式、模式设置” Wireshark捕捉引擎在以下几个方面尚有不足 从多个网络接口同时实时捕捉，(但是您可以开始多个应用程序实体，捕捉后进行文件合并) 根据捕捉到的数据停止捕捉(或其他操作) 4.2.?准备工作 第一次设置Wireshark捕捉包可能会遇到一些小麻烦 提示 关于如何进行捕捉设置的较为全面的向导可以在:/CaptureSetup. 12] 必须选择正确的网络接口捕捉数据 如果您想捕捉某处的通信，你必须作出决定：在什么地方可以捕捉到 ……以及许多 如果你碰到设置问题，建议看看前面的那个向导，或许会有所帮助 4.3.?开始捕捉 可以使用下任一方式开始捕捉包 使用打开捕捉接口对话框，浏览可用的本地网络接口，见图?4.1 “Capture Interfaces捕捉接口对话框”, 选择您需要进行捕捉的接口启动捕捉 你也可以使用捕捉选项按钮启动对话框开始捕捉，见图?4.2 “Capture Option/捕捉选项对话框” 如果您前次捕捉时的设置和现在的要求一样，您可以点击开始捕捉按钮或者是菜单项立即开始本次捕捉。 如果你已经知道捕捉接口的名称，可以使用如下命令从命令行开始捕捉： wireshark -i eth0 -k 上述命令会从eht0接口开始捕捉，有关命令行的介绍参见第?9.2?节 “从命令行启动Wireshark” 4.4.?捕捉接口对话框 如果您从捕捉菜单选择Interface...，将会弹出如图?4.1 “Capture Interfaces捕捉接口对话框”所示的对话框 警告 打开Capture Interfaces/捕捉对话框时 同时正在显示捕捉的数据，这将会大量消耗您的系统资源。尽快选择您需要的接口以结束该对话框。避免影响系统性能 注意 这个对话框只显示本地已知的网络接口，Wireshark可能无法检测到所有的本地接口，Wireshark不能检测远程可用的网络接口，Wireshark只能使用列出可用的网络接口 描述 从操作系统获取的接口信息 IP Wireshark能解析的第一个IP地址，如果接口未获得IP地址（如，不存在可用的DHCP服务器)，将会显示Unkow,如果有超过一个IP的，只显示第一个(无法确定哪一个会显示). Packets 打开该窗口后，从此接口捕捉到的包的数目。如果一直没有接收到包，则会显示为灰度 Packets/s 最近一秒捕捉到包的数目。如果最近一秒没有捕捉到包，将会是灰度显示 Stop 停止当前运行的捕捉 Capture 从选择的接口立即开始捕捉，使用最后一次捕捉的设置。 Options 打开该接口的捕捉选项对话框,见 第?4.5?节 “捕捉选项对话框” Details(仅Win32系统) 打开对话框显示接口的详细信息 Close 关闭对话框 4.5.?捕捉选项对话框 如果您从捕捉菜单选择start...按钮(或者从主工具栏选择对应的项目),Wireshark弹出Capture Option/捕捉选项对话框。如图?4.2 “Capture Option/捕捉选项对话框”所示 图?4.2.?Capture Option/捕捉选项对话框 提示 如果你不了解各项设置的意义，建议保持默认。 第?4.7?节 “链路层包头类型” Buffer size: n megabyte(s) 输入用于捕捉的缓层大小。该选项是设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小，如果你发现丢包。尝试增大该值。 注意 该选项仅适用于Windows平台 13] 注意 如果其他应用程序将网卡设置为杂收模式，即使不选中该选项，也会工作于杂收模式下。 注意 即使在杂收模式下，你也未必能够接收到整个网段所有的网络包。详细解释见/faq.html#promiscsniff 14]如果禁止该选项，默认值为65535，这适用于大多数协议，下面是一些大多数情况下都适用的规则(这里又出现了拇指规则，第一章，系统需求时提到过。这里权且翻译作普适而非绝对的规则)) 如果你不确定，尽量保持默认值 如果你不需要包中的所有数据。例如：如果您