Wireshark 工具使用常见小技巧
一、抓包
拿到一个网络包时,我们总是希望它尽可能小。因为操作一个大包相当费时,有时甚至会死机。如果让初学者分析1GB以上的包,估计会被打击得信心全无。所以抓包时应该尽量只抓必要的部分。有很多方法可以实现这一点。
1.只抓包头。
一般能抓到的每个包(称为“帧”更准确,但是出于表达习惯,本书可能会经常用“包”代替“帧”和“分段”)的最大长度为1514字节,启用了JumboFrame(巨型帧)之后可达9000字节以上,而大多数时候我们只需要IP头或者TCP头就足够分析了。在Wireshark上可以这样抓到包头:单击菜单栏上的Capture>Options,然后在弹出的窗口上定义“Limiteachpacketto”的值。我一般设个偏大的数字:80字节,也就是说每个包只抓前80字节。这样TCP层、网络层和数据链路层的信息都可以包括在内。
mac平台:
win 平台也基本一致:
在win vm 上进行实验,设置不同的报文大小,分别进行1min的抓包,可以看到抓取到的报文大小有明显差别。