实时捕捉数据包.docVIP

第?4?章?实时捕捉数据包 4.1.?介绍 实时捕捉数据包时Wireshar的特色之一 Wiershark捕捉引擎具备以下特点 支持多种网络接口的捕捉(以太网，令牌环网，ATM...) 支持多种机制触发停止捕捉，例如：捕捉文件的大小，捕捉持续时间，捕捉到包的数量... 捕捉时同时显示包解码详情 设置过滤，减少捕捉到包的容量。见第?4.8?节 “捕捉时过滤” 长时间捕捉时，可以设置生成多个文件。对于特别长时间的捕捉，可以设置捕捉文件大小罚值，设置仅保留最后的N个文件等手段。见第?4.6?节 “捕捉文件格式、模式设置” Wireshark捕捉引擎在以下几个方面尚有不足 从多个网络接口同时实时捕捉，(但是您可以开始多个应用程序实体，捕捉后进行文件合并) 根据捕捉到的数据停止捕捉(或其他操作) 4.2.?准备工作 第一次设置Wireshark捕捉包可能会遇到一些小麻烦 提示 关于如何进行捕捉设置的较为全面的向导可以在:/CaptureSetup. 这里有一些常见需要注意的地方 你必须拥有root/Administrator特权以开始捕捉[12] 必须选择正确的网络接口捕捉数据 如果您想捕捉某处的通信，你必须作出决定：在什么地方可以捕捉到 ……以及许多 如果你碰到设置问题，建议看看前面的那个向导，或许会有所帮助 4.3.?开始捕捉 可以使用下任一方式开始捕捉包 使用打开捕捉接口对话框，浏览可用的本地网络接口，见图?4.1 “Capture Interfaces捕捉接口对话框”, 选择您需要进行捕捉的接口启动捕捉 你也可以使用捕捉选项按钮启动对话框开始捕捉，见图?4.2 “Capture Option/捕捉选项对话框” 如果您前次捕捉时的设置和现在的要求一样，您可以点击开始捕捉按钮或者是菜单项立即开始本次捕捉。 如果你已经知道捕捉接口的名称，可以使用如下命令从命令行开始捕捉： wireshark -i eth0 -k 上述命令会从eht0接口开始捕捉，有关命令行的介绍参见第?9.2?节 “从命令行启动Wireshark” 4.4.?捕捉接口对话框 如果您从捕捉菜单选择Interface...，将会弹出如图?4.1 “Capture Interfaces捕捉接口对话框”所示的对话框 警告 打开Capture Interfaces/捕捉对话框时 同时正在显示捕捉的数据，这将会大量消耗您的系统资源。尽快选择您需要的接口以结束该对话框。避免影响系统性能 注意 这个对话框只显示本地已知的网络接口，Wireshark可能无法检测到所有的本地接口，Wireshark不能检测远程可用的网络接口，Wireshark只能使用列出可用的网络接口 图?4.1.?Capture Interfaces捕捉接口对话框 描述 从操作系统获取的接口信息 IP Wireshark能解析的第一个IP地址，如果接口未获得IP地址（如，不存在可用的DHCP服务器)，将会显示Unkow,如果有超过一个IP的，只显示第一个(无法确定哪一个会显示). Packets 打开该窗口后，从此接口捕捉到的包的数目。如果一直没有接收到包，则会显示为灰度 Packets/s 最近一秒捕捉到包的数目。如果最近一秒没有捕捉到包，将会是灰度显示 Stop 停止当前运行的捕捉 Capture 从选择的接口立即开始捕捉，使用最后一次捕捉的设置。 Options 打开该接口的捕捉选项对话框,见 第?4.5?节 “捕捉选项对话框” Details(仅Win32系统) 打开对话框显示接口的详细信息 Close 关闭对话框 4.5.?捕捉选项对话框 如果您从捕捉菜单选择start...按钮(或者从主工具栏选择对应的项目),Wireshark弹出Capture Option/捕捉选项对话框。如图?4.2 “Capture Option/捕捉选项对话框”所示 图?4.2.?Capture Option/捕捉选项对话框 提示 如果你不了解各项设置的意义，建议保持默认。 你可以用对话框中的如下字段进行设置 4.5.1.?捕捉桢 Interface 该字段指定你想用于进行捕捉的借口。一次只能使用一个接口。这是一个下拉列表，简单点击右侧的按钮，选择你想要使用的接口。默认第一是支持捕捉的non-loopback(非环回)接口，如果没有这样的接口，第一个将是环回接口。在某些系统中，回借口不支持捕捉包(windows平台下的环回接口就不支持。) 在命令行使用-i interface参数可以替代该选项 IP address 表示选择接口的IP地址。如果系统未指定IP地址，将会显示为unknown Link-layer header type