2015-01

处理大数据捕获过滤器文件集Wireshark网络分析实例集锦大学霸

Wireshark网络分析实例集锦大学霸

3.6 处理大数据

在Wireshark的默认设置情况下，将会捕获各种协议的数据。当用户分析时，这样的大数据将会带来很大的困扰。本节将介绍如何处理这些大数据。处理大数据捕获过滤器文件集Wireshark网络分析实例集锦大学霸。

3.6.1 捕获过滤器

捕获过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，可以避免产生过大的捕获文件。这样在使用Wireshark捕获之前，就可以通过指定捕获过滤器获取到自己需要的数据。下面将介绍捕获过滤器的使用。

在菜单栏中依次选择Capture|Options…命令，打开捕获选项窗口。打开界面，如图3.12所示。图3.12 捕获窗口

在该界面可以看到捕获过滤器列是空白的。这是因为默认没有使用任何的过滤器。此时，双击选择接口行的任何一处，启动编辑接口设置窗口，如图3.13所示。图3.13 编辑接口设置处理大数据捕获过滤器文件集Wireshark网络分析实例集锦大学霸

在该界面单击Capture Filter按钮，可以查看并选择捕获过滤器。这里选择port 53，如图3.13所示。从该界面可以看到设置捕获过滤器后，背景颜色为绿色。通过该背景色可以判断使用的语法是否正确，如果语法错误，则背景为红色；如果正确，背景为绿色。然后单击OK按钮，将显示如图3.14所示的界面。图3.14 捕获选项

在该界面的Capture filter列可以看到，设置的捕获过滤器为port 53。Wireshark捕获过滤器使用的是伯克利数据包过滤器（Berkeley Packet Filtering）语法。用户也可以直接在捕获过滤器区域，输入捕获过滤器的语法。然后单击Start按钮，开始捕获数据。

3.6.2 捕获文件集

文件集就是多个文件的组合。在Wireshark中，使用文件集的方法可以将一个大数据文件分成好几个小文件。在捕获选项窗口中，可以设置每个文件的大小及每隔多长时间保存一个文件。这样也可以帮助用户，快速的处理数据。下面将介绍捕获文件集。

【实例3-2】捕获文件集。具体操作步骤如下所示：

（1）在主菜单栏中单击（显示捕获选项）按钮，将打开如图3.15所示的界面。图3.15 捕获选项界面

（2）在该界面的Capture选项框中，选择连接到Internet网络适配器前的复选框。这里选择“本地连接”接口。处理大数据捕获过滤器文件集Wireshark网络分析实例集锦大学霸

（3）在Capture Files部分，单击Browse按钮选择保存捕获文件的路径和文件名。这里设置文件名为capture.pcapng，如图3.16所示。然后单击OK按钮，将返回到捕获选项界面。图3.16 保存的文件

（4）在捕获界面的Capture Files部分，将看到上面指定的捕获文件的路径和文件名，如图3.17所示。在该界面选择启用Use multiple files选项，并定义生成的捕获文件每个为1MB、每10秒生成一个文件及捕获4个文件后自动停止捕获。以上信息设置完后，单击Start按钮，将开始数据捕获。

图3.17 设置文件集

注意：在捕获选项窗口中的Stop Capture after选项，在某些版本中存在Bug。在1.10.7中，选择该选项后，无法发挥它的作用。

（5）现在通过访问www.openoffice.org网站，产生流量。大概访问几秒，然后返回到Wireshark查看状态栏的文件区域。将会看到文件名发送了变化，文件后面添加了文件编号（本例中是_00004）、时间和时间戳，如图3.18所示。

图3.18 文件名变化

（6）用户也可以通过在工具栏中依次选择File|File Set|List Files命令，查看文件集中的所有文件，如图3.19所示。

图3.19 文件集

（7）从该界面可以看到生成的4个小文件，处理大数据捕获过滤器文件集Wireshark网络分析实例集锦大学霸。