捕获过滤器技巧捕获过滤器简介与选择捕获位置与选择捕获接口大学霸

第3章  捕获过滤器技巧

 

 

捕获过滤器用于决定将什么样的信息记录在捕获文件中。在使用Wireshark捕获数据时，捕获过滤器是数据经过的第一层过滤器，它用来控制捕获数据的数量。通过设置捕获过滤器，可以避免产生过大的捕获文件。本章将介绍使用捕获过滤器技巧。捕获过滤器技巧捕获过滤器简介与选择捕获位置与选择捕获接口大学霸

3.1  捕获过滤器简介

使用Wireshark的默认设置捕获数据时，会产生大量冗余信息，这样会导致用户很难找到自己需要的部分。这时就可以使用捕获过滤器来控制捕获数据的数量了。捕获过滤器的设置界面如图3.1所示。图3.1  捕获选项

在该图中，每部分的含义如下所示：

①Interface列表：选择一个或多个接口（捕获多个适配器）。

②Manage Interfaces按钮：单击该按钮可以添加或删除接口。

③Capture Filter下拉列表：显示被应用的捕获过滤器（双击可以修改、删除或添加捕获过滤器）。

④Capture File(s)选项框：设置保存多个文件、循环缓冲区大小和基于文件数量自动停止的条件。

⑤Display Options选项框：设置捕获数据时，自动滚动显示捕获的数据包。

⑥Stop Capture选项框：设置自动停止条件，如基于包数、数据捕获的数量或运行时间。

⑦Name Resolution选项框：为MAC地址、IP地址和端口号启动/禁用名称解析。

当以上捕获选项设置完成后，就可以看到Start按钮捕获数据了。捕获数据保存中，Wireshark的图标显示为绿色，如图3.2所示。图3.2  Wireshark运行界面捕获过滤器技巧捕获过滤器简介与选择捕获位置与选择捕获接口大学霸

3.2  选择捕获位置

使用Wireshark分析网络数据时，首先要确认Wireshark捕获数据的正确位置。如果没有在正确的位置启动Wireshark，则导致用户可能花费很长的时间处理一些与自己无关的数据。所以在使用Wireshark之前，需要确认它的位置。

如图3.3所示，该图代表了一个简单的网络环境。在捕获过程中，可以检测到往返延迟时间、丢包、错误信息及其它主机之间传输的问题。如果在捕获过程中，发现访问网页速度慢，这说明Wireshark捕获工具可能是来自通客户端。图3.3  捕获工具的位置

当出现以上的情况时，就需要考虑将Wireshark捕获工具移动到其它位置。如发现大量丢包时，可以在路由器或交换机上开启Wireshark工具，以确定那个设备存在大量丢包。

3.3  选择捕获接口

在使用Wireshark捕获数据前，首先要选择捕获接口。在一台计算机上可能存在许多个网卡，包括有线和无线网卡。Wireshark可能无法检测到所有的本地接口和远程可用的网络接口，只能列出可用的网络接口。本节将介绍如何选择捕获接口。

3.4.1  判断那个适配器上的数据

在工具栏中单击 按钮或在菜单栏中依次选择Capture|Interfaces命令，可以快速的判断那个接口捕获数据和每个接口连接的网络。捕获接口界面，如图3.4所示。图3.4  捕获接口

如果主机使用了双协议栈（IPv4和IPv6），Wireshark默认将显示每个适配器的IPv6地址。如果存在IPv4地址，单击IPv6地址将可以看到IPv4地址（以本地连接为例），如图3.5所示。图3.5  IPv4地址显示捕获过滤器技巧捕获过滤器简介与选择捕获位置与选择捕获接口大学霸

从该界面可以看到本地连接接口的IP由IPv6的地址（fe80::40fa:dfed:94b:f9db）变成了IPv4地址（192.168.0.105）。

如果想捕获某个接口上的数据时，只需将图3.4中设备前面的复选框勾上，然后单击Start按钮，将开始捕获该接口上的数据。捕获过滤器技巧捕获过滤器简介与选择捕获位置与选择捕获接口大学霸