2. 程式人生 > >wireshark長時間抓包分多個檔案

wireshark長時間抓包分多個檔案

阿新 發佈:2019-01-19

說一說這個問題的由來,一般使用wireshark不需要長時間抓包的,但是有時候遇到網路通訊中非常棘手的問題,例如一個小時出現一次或者幾個小時出現一次問題的情況,這種情況下就必須長時間抓包了。但是如果在wireshark中開始抓包之後等上幾個小時肯定會出問題,因為這個時候抓包的內容都是存放在記憶體中的,幾個小時的資料包,特別是如果涉及到音視訊的資料包是很大的,幾個小時可能會達到幾個G的大小,這種情況下wireshark會記憶體溢位,程式直接異常。

這個時候就需要使用wireshark提供的自動分檔案儲存的功能了。

回到頂部

通過wireshark介面進行設定

可以在wireshark的介面上進行一些設定之後再開啟抓包過程,這個時候wireshark會自動根據我們指定的檔名並加上序號和時間來儲存每個檔案段了,具體過程如下:

1

選擇Capture—Interfaces… 開啟網路介面對話方塊

1

選擇要對其進行抓包的網路裝置,點選該條目後面的Options按鈕

1

在該對話方塊中就可以設定使用多個檔案儲存抓到的資料,wireshark會根據我們指定的檔名自動指定每一段的檔名,其名字為 “指定的檔名_序號_日期時間.副檔名”,並且該對話方塊中可以設定各種檔案分段的條件,以及停止抓包的條件,非常靈活。

通過這種方式設定進行多檔案儲存資料非常方便,但是有一個問題如下:
1

經過長時間抓包之後發現會出現多個 “Closing file!”的對話方塊,在工作列上面每一個對話方塊都會多出一個wireshark的圖示,抓包時間越長,檔案分段越多該對話方塊越多,最終會佔滿整個工作列。並且只能通過滑鼠在工作列wireshark的圖示上右鍵關閉。通過google搜尋發現這是wireshark的一個bug,沒有好的解決辦法。所以推薦使用命令列的方式進行長時間抓包。

回到頂部

通過命令列工具dumpcap.exe進行抓包

在wireshark安裝之後,在其安裝目錄下會有一個dumpcap.exe的命令列工具,實際上wireshark的介面程式也是使用這個命令列工具工作的,我們可以不需要使用介面,而直接使用該命令列工具進行抓包工作,其命令如下:

1

命令的含義解釋如下:
dumpcap.exe -i \Device\NPF_{845F9D1E-8F0B-4991-9F9A-C55D107A046B} -w d:\000\ddd.pcap -b filesize:50000

dumpcap.exe在wrieshark的安裝根目錄就可以看到,其中:

-i 表示指定捕獲的網絡卡裝置,這裡指定的是網絡卡裝置的標識,是一個字串,可以在wireshark介面程式中檢視,如下:
1

-w 表示儲存的路徑以及檔名,如果是分檔案儲存,則會自動命名為ddd_00001_20151221213115.pcap 的形式,也就是“filename_序號_時間.副檔名”。

-b filesize:N  表示指定每個檔案的大小是NKB,如上50000表示 50000 KB,也就是50M。

通過命令列的方式抓包長時間執行沒有任何問題,推薦使用這種方式。

回到頂部

通過tcpdump的windows版本進行抓包

通過dumpcap.exe命令列的方式進行抓包,可以解決文章開頭提出的問題,但是dumpcap.exe該工具只有在安裝wireshark之後才會有,該程式的執行也依賴wireshark安裝目錄下的其他的dll,如果不希望安裝wireshark這麼繁瑣,可以選擇使用tcpdump的windows版本,只有一個exe程式沒有其他依賴,tcpdump.exe不是wireshark的一部分,需要單獨下載,tcpdump windows版本下載地址

1

通過tcpdump –D 命令可以列出所有網路裝置列表,注意該列表中的網路裝置標識與我們在wireshark的裝置屬性中拷貝的裝置標識有一點區別,在wireshark中拷貝的裝置標識都有NPF_的字首,因為wireshark安裝的是NPF驅動,這是不一樣的,所以wireshark的命令列工具dumpcap.exe使用的網路裝置標識以wireshark中檢視的為準,而這裡的tcpdump.exe使用的網路裝置標識以 tcpdump -D命令列出的為準。

我們可以通過tcpdump –D 得出的網路裝置列表每一項後面的描述資訊,與我們當前使用的網路連線的描述資訊比較,可以得出我們需要捕獲的網路連線對應的裝置標識。

命令說明:
tcpdump.exe -i \Device\{89515393-AC8F-4D23-9A03-AF35F9950E72} -w E:\000\test.pcap -C 2
    
-i 指定要捕獲的網路裝置的標識。
-w 指定儲存的檔案,如果分段則會自動儲存為  test.pcap、test.pcap1、test.pcap2 等,這些檔案都可以直接拖到wireshark中開啟。
-C 注意這裡是大寫,表示每一個分段檔案的大小,單位是M,這裡 -C 2 表示2M一個檔案。

相關推薦

wireshark時間檔案

說一說這個問題的由來,一般使用wireshark不需要長時間抓包的,但是有時候遇到網路通訊中非常棘手的問題,例如一個小時出現一次或者幾個小時出現一次問題的情況,這種情況下就必須長時間抓包了。但是如果在wireshark中開始抓包之後等上幾個小時肯定會出問題,因為這個時候抓

wireshark時間文件

頂部 ons filesize ice size 文件的 res 溢出 png 閱讀目錄 前言 通過wireshark界面進行設置 通過命令行工具dumpcap.exe進行抓包 通過tcpdump的windows版本進行抓包 回到頂部 前言 說

在當java有jar檔案時,如何在控制檯編譯執行

編譯 javac -cp .:/root/java/hash2/lib/mysql-connector-java-5.1.35-bin.jar:/root/java/hash2/lib/c3p0-0.9.1.1.jar *.java   執行 java -cp .:

Wireshark晰域名

-c logs http 下使用 png 播放 data 包含 adb Tcpdump+Wireshark配合使用,可以很方便的抓包分晰安卓系統輸出域名,下面簡單記錄下使用方法。 tcpdump抓包方法: android系統有很多版本,相對應的tcpdump也有相對應的版本

Jmeter單個連接發送Sample

jmeter nbsp .so default handler 重寫 private 簡單 invalid Mark自:https://blog.csdn.net/lykangjia/article/details/16337505 1. 線程組,在我們測試方案裏面,每個線

java實現檔案以壓縮匯出到本地

描述:使用java將多個檔案同時壓縮為壓縮包,並匯出到本地 /** *壓縮檔案並匯出 */ public static void zipFiles() throws IOException {   File file = null;   String zipFileName = "";   File[

PPT難做?花太時間?收藏這4網站,省時省力效率提升不止一倍

很多人在進入職場後,通常第一個要做的是製作一份簡潔有邏輯的PPT。所以如果在職場辦公過程中不會使用PPT軟體真的太吃虧了。很多人都常說PPT難做,花了很長時間。其實,是因為你不知道可以高效做到,只需收藏這個4個網站! 一、PA口袋動畫 PA口袋動畫,是一款獨立開發的PowerPoint動畫編輯工具,主

學JAVA程式設計要時間,零基礎四月真能學會程式設計嗎

自從李彥巨集在2018百度世界大會上釋出了一個個高科技,從海淀公園裡智慧跑道,無人駕駛、小度智慧涼亭、AI教太極等等,無一不引爆整個科技圈,智慧化時代已經真真切切在我們身邊由此產生的連鎖反應,就是程式設計師便再一次推到了風口浪尖,讓人們對JAVA程式設計有了一個更深刻的認識,無論是在校學生還是在職員工,紛

Swift中避免在檔案中重複import相同的第三方

swift中由於有名稱空間的存在,在同一個target建立的檔案,都可以不引用直接就可以拿來使用,但是不同target之間必須要import 之後才能使用,在不同的檔案中使用都要重複的import這個模組 //隨便在一個檔案中新增自己想要的類庫 ///MARK:TODO 定義常用的類庫資訊, 使用@_

API介面自動化之3 同一個war介面做自動化測試

CREATE TABLE API_TASK( ID INT IDENTITY(1,1), API_NAME VARCHAR(50), API_HOST VARCHAR(100), API_URL VARCHAR(500), API_TYPE VARCHAR(50),

Wireshark實戰之MySQL Java客戶端

tcpdump ip host 210.27.48.1tcpdump 與wiresharkWireshark(以前是ethereal)是Windows下非常簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。還好有Tcpdump。我們可以用Tcpdump + Wireshark 的完美組合實

【Maven jar】打包單個或檔案,有依賴jar的將架一起打包成一個jar供別的專案引用

之前有一片文章,是打包單個java檔案的。這次想要將http://www.cnblogs.com/sxdcgaq8080/p/8398780.html  打包成jar包,發現這個java檔案中引用了多個第三方的jar,想要單獨進行編譯都無法通過,更不要說打包成jar了。 所以就營運而生了這個需求,怎麼打包單

wireshark使用及分析(一)

作為一個跨行業的網路初學者,最近雲裡霧裡的看了兩遍《圖解TCP/IP》,對網路知識有了些最基本的瞭解,先前在知乎裡看到大神說學習網路得結合著抓包學習才有意思。所以自己一邊百度著wireshark的使用,一邊看著《圖解TCP/IP》苦逼的一點點的讓自己成長。 百

Uiautomator向jar引數

先看uiautomator的命令解析,隨便輸了個uiautomator -help,讓其顯示用法,打印出來的資訊如下: —————————————————————————————————————————————————————————————— [email pr

wireshark+共享網路分析手機APP

Wireshark使用說明Wireshark 是網路包分析工具。網路包分析工具的主要作用是嘗試捕獲網路包, 並嘗試顯示包的儘可能詳細的情況。你可以把網路包分析工具當成是一種用來測量有什麼東西從網線上進出的測量工具,就好像使電工用來測量進入電信的電量的電度表一樣。(當然比那個更

內容excel檔案進行儲存資料

/** * 分多個excel檔案進行儲存資料 * @author hanchuang * */ public class AccessExcel { String[] titleCell; String[][] allC

客戶端和服務端在同一臺機器上,wireshark如何實現

在實際專案中,可能會遇到客戶端和服務端在同一臺機器,要抓包對兩邊的通訊等進行分析,預設wireshark是不能抓到客戶端和服務端在同一臺機器的資料包的。 注:10.16.38.103是本地I

使用wireshark進行網路 報錯

剛安裝的網路抓包工具 wireshark 要進行網路抓包,如果沒有開啟網絡卡 ,會報錯 因此,看到這個錯誤 The capture session could not be initiated on interface

PC客戶端工具FIddler+Proxifer

開篇:要想實現寫爬蟲,抓取到資料,首先我們應該分析客戶端和伺服器的請求/響應,前提就是我們能監控到客戶端是如何與伺服器互動的,下面來記錄下常見的三種情況下的抓包方法 1.PC端瀏覽器網頁抓包 網頁板抓包是最簡單和常見的,比如Google/Firfox/IE等

WireShark進行網路

這是本菜鳥參考網上一篇教程進行的網路抓包,記錄一下過程啦。 第一步:安裝WireShark1.6.4的同時,依賴安裝了winPCap,winPCap是用於網路封包抓取的一套工具,可適用於32位的操作平臺上解析網路封包。 第二步:開啟WireShark開始抓包。然後我們開啟人