wireshark使用技巧（wireshark基本操作）

来源：网络技术联盟站

链接：https://www.wljslmz.cn/20077.html

作为一名网络工程师，每天我们都需要处理很多奇怪的问题，为了帮助工程师找出根本原因，Wireshark 成了工程师日常工作中的得力助手，本文将给您介绍三个我用Wireshark的时候经常干的操作。

1.设置捕获包大小

当开始抓包时，确保只抓你想要的，为了使抓包文件准确和小，你可以改变数据包大小：

点击【捕获】：

点击【选项】：

在“Input”页签中，我们看到“捕获长度”就是我们想要设置的地方：

捕获长度是网络捕获工具实际捕获并存储到 CaptureFile 中的每一帧的数据量。

可以看到帧的默认大小是262144B，为了优化它，我建议将它设置在80-200之间：

这样就可以使得帧包括TCP层、网络层和数据链路层数据包更小，便于分析的效率。

当你完成捕捉后，如何找到你真正想要的是一个问题，要找到这些数据包，用不同颜色突出显示这些数据包是一个不错的选择。

那么怎么设置呢？

点击导航栏的【视图】：

选择点击【着色规则】：

可以看到，一些预定义的颜色规则已经存在，就如同现在看到的一样：

双击编辑，或者你自己添加，可以看到颜色规则是和滤镜相关的。

如上图，我增加了一个名为“localhost”着色规则，过滤器为“ip.addr == 192.168.3.29”，这是我本地的私网ip地址，也就是说当包涉及到我本地地址的时候就会着色显示，我们来试一下：

可以清晰的看到我们设置的着色规则生效了！

Wireshark 有很多过滤器，但我们记不住所有的过滤器，虽然 wireshark 在 www.wireshark.org/docs/dfref/ 中提供了它，你可以通过这个站点查看它：

但是你也看到了，从进度条的大小来看，这个规则是真的多，想要全部学习，不太现实。

我们就简单的介绍一下平时我是怎么用的。

一般情况下，你在Wireshark界面上看到的数据基本上已经足够你分析了，那么大多数情况下，基于界面的数据进行过滤可以这样做：

比如看下面的截图：

在source这一列有很多ip，这个时候你想过滤出源ip为111.230.120.127的包，只需要鼠标悬浮在source列任意一个111.230.120.127地址上，右击，选择“作为过滤器应用”，选择“选中”：

然后你会看到过滤器编辑框中自动加上了ip.src == 111.230.120.127，并且过滤出所有以111.230.120.127为源ip的包：

就是那么简单，你不需要记“源ip过滤”怎么写规则。

再比如说当我们想过滤出帧生效时间是0.193381的包，也可以通过同样的办法来过滤：

过滤的结果：

是不是简单便捷。

好了，今天就给大家分享这三个小妙招，可能会的朋友早已在用了，不怎么熟悉的朋友可以试试哦。后面想起其他小妙招再给各位小伙伴分享。

原创文章，作者：网络技术联盟站，如若转载，请注明出处：https://www.sudun.com/ask/34637.html