通常,当我使用 WireShark 时,我真的不需要捕获帧的内容。我基本上只是确保一些流量正在流动,并且可能检查一些标志(FIN ACK 等)。然而,默认设置是捕获(过滤的)NIC 看到的所有内容,这可以很快填满我的 HD。
是否有一个设置,您可以只看到摘要行,而不捕获内容?
问问题
3294 次
1 回答
3
我真的不需要捕获帧的内容......我基本上只是确保一些流量正在流动,并且可能检查一些标志(FIN ACK 等)
因此,您只需要 TCP 标头(以及 TCP 标头之前的所有数据包数据)。典型的 IPv4 报头与典型的 TCP 报头一样长 20 个字节,因此,在以太网上,您通常只需要捕获数据包的前 54 个字节。对于 IPv6,典型的标头长度为 40 个字节,因此,在以太网上,您通常只需要前 74 个字节。但是,IPv4 和 TCP 标头可能有选项,而 IPv6 标头可能有扩展标头,因此为 IPv4 捕获 68 个字节或为 IPv4 或 IPv6 捕获 96 个字节可能会更好
对于其他网络,您必须根据链路层标头长度调整该值。对于不处于监控模式的 802.11,您可能会得到“假以太网”标头,因此用于以太网的值将起作用;对于处于监视模式的 802.11,您可能有一个“radiotap”标头或其他一些“无线电元数据”标头,因此您必须查看您机器上的一些捕获,以了解 802.11 标头 + 无线电元数据标头有多大.
一旦您知道应该使用的“快照长度”,您可以在 Wireshark 1.8 及更高版本的接口选项的“将每个数据包限制为 [...] 字节”字段中指定它,或者在之前的“捕获选项”对话框中指定它1.8.
Wireshark 仍然会在捕获的数据包数据有限的情况下显示它可以显示哪些数据包详细信息,因此您不会只看到摘要行。但是,每个数据包获得的数据会更少,从而节省磁盘空间。
于 2013-07-19T09:30:25.460 回答