精华内容
下载资源
问答
  • wireshark自动保存文件
    2020-12-19 05:50:34

    1.

    目的

    ADSL

    AG

    及其他产品的日常排障过程中经常需要现场进行抓包配合,本文档提供了

    Wireshark

    的常用操作指南。

    2.

    范围

    AG

    ADSL

    现场工程师。

    3. Wireshark

    安装

    作为

    Ethereal

    的替代产品,

    Wireshark

    (

    http://www.wireshark.org

    )

    是一款优秀且免费的抓包分析软件,可到

    Internet

    自行下载

    安装。

    Wireshark

    的安装软件包由

    Wireshark-setup

    WinPcap

    2

    个安装文件组成。

    4. Wireshark

    使用

    4.1

    抓包

    点击菜单

    Capture -> Option

    s„,打开

    Capture Options

    窗口。

    Interface

    中选择网络接口;在

    Capture Filter

    中输入需要过滤的协议

    (如过滤

    megaco

    协议,输入

    udp port 2944

    )

    ;在

    Capture

    File(s)

    File

    中输入要保存的抓包文件名,如要将抓包分文件保存,则在

    Use multiple files

    中选择保存文件的分割机制,如下图每

    5M

    就保存一个文件;如需要实时显示抓包结果并让抓包结果自动滚屏,则在

    Display Options

    中选中

    Update list of packets in real

    time

    Automatic scrolling in live capture

    Interface

    :这项用于指定截包的网卡。

    Link-layer header type

    :指定链路层包的类型,一般使用默认值。

    Buffer size

    (

    n megabyte

    (

    s

    )):用于定义

    Ethereal

    用于截包的缓冲,当缓冲写满后,就将截的数据写道磁盘上。如果遇到

    ethereal

    丢包现象,将该缓冲尽量增大。

    Capture packets in promiscuous mode

    :截包时,

    Ethereal

    将网口置于混杂模式。如果没有配置这项,

    Ethereal

    只能截取该

    PC

    发送和接收的包(而不是同一

    LAN

    上的所有包)。

    Limit each packet to n bytes

    :定义

    Ethereal

    截取包的最大数据数,大于这个值的数据包将被丢掉。默认为

    65535

    更多相关内容
  • wireshark抓包

    千次阅读 2020-12-19 05:51:23
    自定义捕获条件wireshark可以将抓包数据保存到硬盘上。若需要长时间抓包的话,需要防止内存过大,因此一般需要指定一定大小切包,释放内存。在捕获-选项菜单中可以设置捕获包的一些配置。输入配置在...

    wireshark抓包

    使用wireshark抓包分析-抓包实用技巧

    前言

    本文整理一下日常抓包使用的一些方法及抓包分析的一些方法。

    本文基于wireshark2.2.6版本进行抓包处理。其他版本使用方式大同小异。

    自定义捕获条件

    wireshark可以将抓包数据保存到硬盘上。若需要长时间抓包的话,需要防止内存过大,因此一般需要指定一定大小切包,释放内存。

    在捕获-选项菜单中可以设置捕获包的一些配置。

    输入配置

    在输入选项卡中可以选择抓取指定接口,在下方过滤器中可以输入过滤条件,比如host 172.17.1.100抓取指定ip的包,或tcp port 9055抓取指定端口的包。

    输出配置

    在输出选项卡中可以设置保存的文件路径,包数量分组,文件大小分组,文件个数等配置。

    文件保存路径:需要设置具体的文件名,wireshark会自动在文件名后加上序号和时间戳信息。比如文件名为1.pcapng,则会自动保存为如1_00001_20190625161142.pcapng的文件名。

    自动创建新文件可以通过接收到包的数量和大小以及抓包时间进行设置,通常通过文件大小抓包即可。

    文件个数:通过勾选使用一个唤醒缓冲器来保存最大的文件数量。防止文件过多

    在选项选项卡中还有一些其他的配置,根据实际情况决定是否勾选。

    命令行抓包

    wireshark提供了很强大的GUI界面,但是在生产环境长时间抓包使用GUI界面有以下问题,界面刷新需要消耗资源,且GUI界面相比命令行界面,易出现闪退,卡死等不稳定现象,同时即使配置了切包,也会占用极大的内存,需要将包信息显示在界面,因此必须要等每次切包后才能释放内存。相比命令行将数据持久化到硬盘上会立即释放内存,因为界面上只需要显示简单的抓包数量和文件保存路径等信息。

    下图是通过GUI界面进行抓包的内存占用情况,配置的是100M切一个文件,一般需要占用几百兆的内存。

    下图是通过命令行抓包的内存占用情况,配置的是100M切一个文件,仅仅占用几兆内存。

    在wireshark安装目录除了wireshark用于GUI界面的抓包程序以外还有一些其他的工具,比如reordercap、text2pcap、tshark、rawshark、mergecap、mmdbresolve、capinfos、dumpcap、editcap等,其中tshark和dumpcap是用于命令行抓包的工具。tshark就是命令行版的wireshark,tshark底层使用的即为dumpcap,因此tshark的功能相对强大一些,性能上则弱于dumpcap。

    下图是在传输速率为每秒37244,共传输1000000个825B大小的帧下产生的测试结果。

    具体相关测试可以到Wireshark Packet Capture: Tshark Vs. Dumpcap查看,里面还有更多的不同的基准测试结果。(可能需要FQ)。

    我们可以通过dumpcap抓包,然后通过tshark或wireshark进行包分析。

    通过dumpcap -h查看命令参数。

    -i: 抓取哪个网络接口的包

    -f: 过滤器,只抓取满足过滤器的包。

    -b filesize: 保存文件大小,即切包大小。

    -b files:20: 保存文件个数。

    -w: 保存的文件名。

    在wireshark安装目录有*.html包含各个工具的命令及示例。

    通过以上参数可以实现和GUI界面通过的抓包策略。比如dumpcap -i 1 -f "tcp port 8080" -w D:\1.pcapng -b filesize:100000 -b files:20表示抓取接口1的8080端口的tcp包,将数据保存到D:\1.pcapng路径下,通过100M切一个文件,最多保存20个最新的文件。

    抓取多个接口

    若需要抓取多个接口的包,则通过多个-i参数指定,通过每个-i参数后面可以带上-f配置过滤器。比如dumpcap -i 1 -i 3 -f "tcp port 8080" -w D:\1.pcapng -b表示抓取接口1和接口3的包。

    通常来说我们需要抓取某个ip的包,那么我们需要知道这个ip是那个网络接口。通过dumpcap -D可以获取所有网络接口。

    C:\Users\Dm_ca>dumpcap -D

    1. \Device\NPF_{E78E9C1F-C71D-40E6-A233-BEFE0A59FD3F} (浠ュお缃?3)

    2. \Device\NPF_{50A4BF57-AEF6-42CB-B481-E3BBE16F784A} (鏈湴杩炴帴* 2)

    3. \Device\NPF_{A37B6157-FB22-4FC7-870F-6FB76C950BCE} (vEthernet (Default Switch))

    4. \Device\NPF_{B6BC2FEF-E6A0-4E7F-BCF6-A4CBE39560A0} (鏈湴杩炴帴* 8)

    5. \Device\NPF_{E3B69F06-9D31-4970-B3B1-F7FC29D6F343} (Npcap Loopback Adapter)

    6. \Device\NPF_{B70FF207-6758-49F3-BD8B-1E58EBAAA350} (WLAN)

    7. \Device\NPF_{196071AF-E992-498F-99EE-32D5238EE947} (鏈湴杩炴帴* 10)

    8. \Device\NPF_{4EA95CCE-F4A3-4C1E-884F-033C2A475349} (鏈湴杩炴帴* 9)

    9. \Device\NPF_{2F5E422D-8579-4DA4-BD78-02AE4EAEA836} (浠ュお缃?2)

    10. \Device\NPF_{F4BDE9E1-950B-402B-9CD6-281119917271} (鏈湴杩炴帴* 3)

    最左边的为我们输入的参数-i的编号,右边的乱码的是中文名称本地连接等字样,如果不确定使用哪个网卡,也可以到wireshark中确认一下。在输入选项卡选择接口下拉会有对应的地址。

    命令输入后就会显示正在抓包的一些信息,Packets为抓取的包数,File为保存的文件名,多切了文件之后,则会显示多个File行。

    C:\Users\Dm_ca>dumpcap -i 5 -f "tcp" -w E:\1.pcapng -b filesize:100000 -b files:20

    Capturing on 'Npcap Loopback Adapter'

    File: E:\1_00001_20190629091754.pcapng

    Packets: 4

    抓包分析

    通过dumpcap抓包后我们可以将抓包文件通过wireshark界面打开进行简单分析。

    若需要根据特定条件在大量信息中筛选出想要的信息,则需要通过tshark进行命令行的筛选。

    案例:生产环境中发现时常有丢包现象,通过wireshark进行简单分析发现有许多RST的重置连接包。追踪流查看发现,没有正常建立连接。

    通过tcp.flags.reset == 1筛选出大量的重置连接。大约占比1%的请求数据量。为了确认每个包是不是都是同样的原因。我们需要追踪每个包的流进行查看。

    在wireshark上选择指定的包右键在弹出的菜单中选择追踪流-TCP流追踪完整的流。

    但是如果要追踪大量的流,在wireshark上操作就不太方便了。由于wireshark不支持批量选择包跟踪流,因此只能一个个跟踪。wireshark又不支持上一步历史搜索,追踪流实际wireshark是用了tcp.stream eq XXXX筛选流号。因此我们需要重新在通过前一个筛选指令重新筛选。这样就非常麻烦,尤其是若一个切包比较大的话,处理起来非常的慢。由于上述原因,我们通过tshark命令行筛选出异常连接后批量跟踪每个流并保存到文件进行分析。

    批量分析

    通过tshark -h可以查看命令从参数,由于多命令和dumpcap类似,但是tshark还扩展了其他命令。

    -r: 读取本地的数据包文件。

    -R: 捕获过滤器,可用于捕获符合过滤规则的报文。

    -Y: 显示过滤器,用于过滤已捕获的报文。

    -2: 若此时输入回车,则会将包信息打印到控制台上。

    -w: 通过过滤器删选后的包,保存另存到文件中,比如我们需要从某个包筛选出关键信息保存后进行单独分析。

    -T fields : 格式化输出,输出属性,我们要通过-e筛选包的指定属性,则需要用该参数。

    -e: 获取指定包属性,必须先指定-T fields格式化输出,若有多个属性输出,则使用多个-e,比如-e tcp.stream -e tcp.port。

    捕获过滤器

    捕获过滤器是在捕获菜单中,直接用过滤出指定的条件,不满足条件的是不会被捕获的。

    显示过滤器

    显示过滤器则是在已捕获的包中进行过滤显示。

    捕获过滤器的规则是host 192.168.0.115 and tcp port 8080,而对应的显示过滤器规则是ip.addr eq 192.168.0.115 and tcp.port eq 8080,两者的语法还是不同的。

    实际通过tshark命令过滤时发现,使用的都是显示过滤器筛选。而在通过dumpcap -f抓包时需要使用捕获过滤器的语法。

    在简单了解参数之后,开始使用命令筛选出我们需要的包。

    批量筛选包

    筛选出需要的包。通过tshark -r 172.18.12.1_00085_20190624193404.pcapng -2 -R "tcp.flags.reset == 1" 筛选出我们需要的包。

    PS E:\wiresharkpackage\analysis-20190625> tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1"

    1 9341.446421 50094 TCP 60 50094 鈫?9055 [RST] Seq=1 Win=0 Len=0

    2 164451.986850 9055 TCP 54 9055 鈫?51707 [RST, ACK] Seq=966 Ack=717 Win=0 Len=0

    3 196000.984728 9055 TCP 54 9055 鈫?55516 [RST, ACK] Seq=762 Ack=717 Win=0 Len=0

    4 206748.235089 21 TCP 54 21 鈫?56839 [RST, ACK] Seq=432 Ack=121 Win=0 Len=0

    5 251344.165367 21 TCP 54 21 鈫?61652 [RST, ACK] Seq=433 Ack=121 Win=0 Len=0

    6 260534.172129 21 TCP 54 21 鈫?62957 [RST, ACK] Seq=433 Ack=121 Win=0 Len=0

    7 271885.709376 21 TCP 54 21 鈫?64407 [RST, ACK] Seq=434 Ack=121 Win=0 Len=0

    ...

    和wireshark界面过滤一样,它会筛选出所有满足过滤条件的包。

    对每个包进行追踪。由于追踪包的命令为tcp.stream eq XXXX,因此我们需要知道tcp.stream值才可以追踪该包。我们上面打印出了相关的包信息。通过-e可以获取指定的包属性,因此在上面的条件加上-T fields -e tcp.stream,表示只需要获取流号。

    powershell PS E:\wiresharkpackage\analysis-20190625> tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream 103 1048 1319 1419 1544 1687 ...

    追踪到流号后我们就需要对每个流进行跟踪并保存。将流号保存到变量中,遍历每个流号进行筛选即可,通过>>到文本中。在windows下通过powershell可以很方便的配合tshark命令执行脚本。

    $streams = tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream

    $streams | foreach {tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.stream eq $_" -t ad >> 20190628.txt}

    若想要保存成pcapng格式,则可以通过拼凑筛选条件进行筛选,然后通过-w 输出为pcapng格式。

    $streams = tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream

    $filter=""

    foreach($stream in $streams)

    {

    $filter = "$filter tcp.stream eq $stream or"

    }

    ## 移除最后多余的or

    $filter= $filter.trim("or")

    tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.stream eq $filter" -t ad -w 20190628.pcapng

    通过将流号进行拼凑,然后筛选出所有流号的包。

    合并包

    我们可以通过tshark过滤出我们需要的包并保存为文件,有时候我们可能需要把若干个包合并起来一起分析。则可以通过mergecap进行合并。通过Usage: mergecap [options] -w |- [ ...],比如mergecap.exe -w e:\file\Wireshark\port.pcapng e:\file\Wireshark\port*,将port开头的文件合并到port.pcapng

    结论

    通过对抓包文件进行脚本化的处理,可以做许多更为强大的数据分析。比如在软件层面上对网络连接进行异常监控及预警。实时的对包进行分析,有异常连接可以做到即使预警。

    参考文献

    展开全文
  • wireshark过滤报文后保存,然后打开保存后的报文仅显示保存后的报文。

    目的:通过wireshark抓包,然后通过wireshark过滤功能,仅保存想要的报文

    举例:过滤出SNMP报文,并保存。

    1、打开包含多中类型的报文文件。

    最初的报文有很多类型的报文,现在要筛选出SNMP报文,并仅保存SNMP报文
    在这里插入图片描述

    2、筛选出目的类型报文。

    在Filter框中输入SNMP,筛选出SNMP报文
    在这里插入图片描述

    3、Mark筛选出的报文。

    将过滤的SNMP报文标记,点击Edit,然后点击Mark All Displayed Packets
    在这里插入图片描述

    4、报文Mark后会变色。

    在这里插入图片描述

    5、输出Mark的报文文件。

    选择将Mark后的报文输出,点击File ,再点击Export Specifed Packets
    在这里插入图片描述

    6、保存Mark的报文文件。

    在弹出的窗口中,点击选择Markets Packets,并输入文件命名,选择输出格式“pcap”,最后点击保存即可。
    在这里插入图片描述

    展开全文
  • wireshark抓包分析【设置办法】

    千次阅读 2020-12-19 05:50:43
    很多小伙伴都遇到过wireshark抓包分析的困惑吧,一些朋友看过网上零散的wireshark抓包分析的处理方法,并没有完完全全明白wireshark抓包分析是如何解决的,今天小编准备了简单的解决办法,只需要按照1:电脑安装...

    很多小伙伴都遇到过wireshark抓包分析的困惑吧,一些朋友看过网上零散的wireshark抓包分析的处理方法,并没有完完全全明白wireshark抓包分析是如何解决的,今天小编准备了简单的解决办法,只需要按照1:电脑安装wireshark后,运行“wireshark.exe”点击“capture”中的“interface”选择端口:2:手机连接电脑后,选择连接的端口,前面的方框打钩:的顺序即可轻松解决,具体的wireshark抓包分析教程就在下文,一起来看看吧!

    1:电脑安装wireshark后,运行“wireshark.exe”

    点击“capture”中的“interface”选择端口:

    2:手机连接电脑后,选择连接的端口,前面的方框打钩:

    3:然后,选择上图中的Options:

    4:选择上一步勾选的端口,双击后将方框内前面的方框勾选,里面的数字改为150,之后点击OK:

    5:然后在界面下面方框处选择LOG保存位置和名称:

    6:开启自动保存,每100M保存一个LOG:

    7:完成后点击START开始抓取LOG,完成后点击红色按钮结束抓取:

    展开全文
  • 【002】 Wireshark之抓包文件保存

    千次阅读 2019-11-28 16:42:47
    Wireshark抓包文件保存4.1 保存完整的数据包4.2 保存部分数据包4.2.1 保存经“显示过滤器”过滤后的数据包4.2.2 保存“两个标记数据包区域”范围的数据包4.2.3 保存“指定编号范围内”的数据包4.2.4 保存“带标记”...
  • 文章目录打开捕获文件打开的文件格式保存抓包保存文件格式合并捕获文件导入十六进制Import From Hex Dump 对话框  我们将介绍捕获数据的输入和输出,例如打开各种捕获文件格式的捕获文件,以各种格式保存和导出...
  • 于是阅读在其源码的同时为tshark增加自动保存http资源的功能。现在来分享给大家,源码在附件中。这个思路也可以用来自动过滤、分析数据包。github: https://github.com/KevinsBobo/wireshark-mo...
  • 我们可以利用 Wireshark 软件抓取接口的数据包并保存下来,慢慢分析数据包的内容。
  • Wireshark抓取的数据包文件提取

    千次阅读 2020-12-20 18:01:25
    (第一种方法 直接使用wireshark自带的导出)分离图片文件)wireshark在指定的数据流中提取文件很简单。先选中要提取文件的数据包。wrieshark都会标明文件的类型。所以我们也就能够区分出这是一个什么类型的文件。 选中...
  • WireShark工具用法说明

    2013-04-27 14:40:49
    WireShark用于网络抓包,分析数据包工具,本文档具体介绍了使用方法及过滤条件设置!
  • 文章目录1. 概述2. 设置捕获包存储路径3....而本文则介绍如何事先设置Wireshark自动将捕获的数据包存储到我们先前设定好的目录文件中,并且赋予它一定的存储规则,比如按照指定大小来创建文件,比如1KB、1MB等;或按照
  • wireshark可以读取以前保存文件。方法有二: 菜单栏的“文件->Open”或者工具栏 在文件管理器中拖动文件并将其放到Wireshark的主窗口中,就可以打开该文件。 “打开捕获文件”对话框 作用: 打开要查看的捕获...
  • 17. Wireshark学习-捕获接口和保存选项

    千次阅读 2020-07-16 10:35:57
    Wireshark提供了多种功能来实现对文件保存操作。 内容: "捕获接口"对话框的输出功能; 环状缓冲区; "捕获接口"对话框的其他功能; 保存显示过滤器; 配置文件保存。 在使用WireShark的实例中如果没有将数据包...
  • 我是如何使用wireshark软件的

    千次阅读 2021-01-15 10:21:08
    6、自动保存 7、Wireshark的统计功能 1、简介 这篇文章介绍一个好用的抓包工具Wireshark,用来获取网络数据封包,包括HTTP、TCP、UDP等网络协议包。 开始界面 wireshark是捕获机器上的某一块网卡的网络包,当...
  • Wireshark作为最基础的网络数据包分析器,是每个网络从业人员所需掌握的必备工具,简单介绍了该工具的具体操作流程步骤,并附有详细图解
  • 最近,需要将wireshark监听的数据进行提取,分两步:首先,应该得出wireshark的数据包吧,在图形化界面中可以非常直观的将监听数据进行存储,但是这样需要手动操作非常麻烦,而且容易出错(随着处理数据包的数量增加...
  • 第 8 章数据包捕获 本章需要复审和扩展。 8.1.如何向Libpcap 添加新的捕获类型 ...首先,阅读《有关编写新 libpcap 模块的 libpcap 文档》(libpcap/README.capture-module at master · the-tcpdump-group/lib.
  • Wireshark抓包捕获文件

    千次阅读 2018-05-09 12:58:40
    十分钟入门Wireshark抓包捕获文件,轻松免费的下载音乐视频等多种文件。...文件中的原始二进制数据会被原封不动地分成很多数据包进行发送,接收端会根据数据包中的编号自动将这些数据包还原成完整的文件
  • Wireshark用户指南-目录

    千次阅读 2020-03-29 00:17:41
    4.关于本文件 5.从哪里获得此文档的最新副本? 6.提供有关此文档的反馈 7.印刷约定 7.1。告诫 7.2。Shell提示和源代码示例 1.简介 1.1。什么是Wireshark? 1.1.1。一些预期目的 1.1.2。特征 1.1.3。从许.....
  • 一、Wireshark简介 本节涵盖以下内容: 安置Wireshark(主机/程序); 开始抓包; 本书的前言曾提到过网络排障以及内置于Wireshark能帮助排障的各种工具。一旦决定动用Wireshark协议分析软件,在使用之前,则有...
  • 目前对于Wireshark来说,C/C语言和Lua脚本是编写插件的主流语言,对于C/C语言这类语言来说,不可否认它具有非常高的性能,但是其编译配置较为麻烦,每次修改都要重新编译,而Lua脚本虽然解析效率没前者那么高,但是...
  • 每个解析都从帧(Frame)解析器开始,它解析捕获文件本身的细节(例如时间戳)。从那里开始它将数据传递到最低级别的数据解析器,例如和以太网报头对应的以太网解析器。然后将有效载荷(payload)传递到下一个解析器...
  • 一、直接使用wireshark捕获数据包并保存文件可以使用wireshark通过图形界面的操作来实现捕获数据包并保存文件wireshark默认捕获的数据包保存为临时文件,如果最后退出时不选择保存那么临时文件将会被删除。...
  • wireshark长时间抓包分多个文件

    千次阅读 2017-10-28 16:40:01
    说一说这个问题的由来,一般使用wireshark不需要长时间抓包的,但是有时候遇到网络通信中非常棘手的问题,例如一个小时出现一次或者几个小时出现一次问题的情况,这种情况下就必须长时间抓包了。但是如果在wireshark...
  • wireshark学习记录

    2021-11-19 10:00:14
    wireshark捕获文件保存 杂项设置 Ensp的安装与简单使用 Vmware网络连接介绍 Ensp连接VMware虚拟机 Wireshark部署方法 wireshark网络安全 wireshark辅助工具 Wireshark拓展 The "Expression…​" toolbar ...
  • Wireshark使用教程.rar

    2019-07-09 08:59:14
    5.3.1. "save Capture File As/保存文件为"对话框 43 5.3.2. 输出格式 44 5.4. 合并捕捉文件 45 5.4.1. 合并文件对话框 45 5.5. 文件集合 46 5.5.1. 文件列表对话框 47 5.6. 导出数据 47 5.6.1. "Export as ...
  • 目录命令行控制 Wireshark命令行参数解析   Wireshark 的默认行为通常会很好地满足你的需求。 但是,随着对 Wireshark 越来越熟悉,它可以通过各种方式进行定制,以更好地满足你的需求。 在本文中,我们将主要探讨...
  • Wireshark文件栏介绍1

    2021-05-24 11:21:29
    打开选项用来打开之前保存的包文件,当选择该选项之后,会弹出“Wireshark打开捕获文件”对话框,选择要打开的文件,如图1所示。 图1 “Wireshark打开捕获文件”对话框 1.2 显示文件信息 和普通的打开文件...
  • windows7环境下wireshark数据能自动保存文件,如果不能什么工具可以? 事情背景说明: 一个套系统(windows服务端程序+嵌入式linux客户端程序),linux客户端程序向windows服务端程序定期发送心跳(TCP长连接...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 7,461
精华内容 2,984
热门标签
关键字:

wireshark自动保存文件