wireshark长时间抓包分多个文件
前言
说一说这个问题的由来,一般使用wireshark不需要长时间抓包的,但是有时候遇到网络通信中非常棘手的问题,例如一个小时出现一次或者几个小时出现一次问题的情况,这种情况下就必须长时间抓包了。但是如果在wireshark中开始抓包之后等上几个小时肯定会出问题,因为这个时候抓包的内容都是存放在内存中的,几个小时的数据包,特别是如果涉及到音视频的数据包是很大的,几个小时可能会达到几个G的大小,这种情况下wireshark会内存溢出,程序直接异常。
这个时候就需要使用wireshark提供的自动分文件存储的功能了。
通过wireshark界面进行设置
可以在wireshark的界面上进行一些设置之后再开启抓包过程,这个时候wireshark会自动根据我们指定的文件名并加上序号和时间来保存每个文件段了,具体过程如下:
选择Capture—Interfaces… 打开网络接口对话框
选择要对其进行抓包的网络设备,点击该条目后面的Options按钮
在该对话框中就可以设置使用多个文件存储抓到的数据,wireshark会根据我们指定的文件名自动指定每一段的文件名,其名字为 “指定的文件名_序号_日期时间.扩展名”,并且该对话框中可以设置各种文件分段的条件,以及停止抓包的条件,非常灵活。
通过这种方式设置进行多文件保存数据非常方便,但是有一个问题如下:
经过长时间抓包之后发现会出现多个 “Closing file!”的对话框,在任务栏上面每一个对话框都会多出一个wireshark的图标,抓包时间越长,文件分段越多该对话框越多,最终会占满整个任务栏。并且只能通过鼠标在任务栏wireshark的图标上右键关闭。通过google搜索发现这是wireshark的一个bug,没有好的解决办法。所以推荐使用命令行的方式进行长时间抓包。
通过命令行工具dumpcap.exe进行抓包
在wireshark安装之后,在其安装目录下会有一个dumpcap.exe的命令行工具,实际上wireshark的界面程序也是使用这个命令行工具工作的,我们可以不需要使用界面,而直接使用该命令行工具进行抓包工作,其命令如下:
命令的含义解释如下:
dumpcap.exe -i \Device\NPF_{845F9D1E-8F0B-4991-9F9A-C55D107A046B} -w d:\000\ddd.pcap -b filesize:50000
dumpcap.exe在wrieshark的安装根目录就可以看到,其中:
-i 表示指定捕获的网卡设备,这里指定的是网卡设备的标识,是一个字符串,可以在wireshark界面程序中查看,如下:
-w 表示保存的路径以及文件名,如果是分文件保存,则会自动命名为ddd_00001_20151221213115.pcap 的形式,也就是“filename_序号_时间.扩展名”。
-b filesize:N 表示指定每个文件的大小是NKB,如上50000表示 50000 KB,也就是50M。
通过命令行的方式抓包长时间运行没有任何问题,推荐使用这种方式。
通过tcpdump的windows版本进行抓包
通过dumpcap.exe命令行的方式进行抓包,可以解决文章开头提出的问题,但是dumpcap.exe该工具只有在安装wireshark之后才会有,该程序的运行也依赖wireshark安装目录下的其他的dll,如果不希望安装wireshark这么繁琐,可以选择使用tcpdump的windows版本,只有一个exe程序没有其他依赖,tcpdump.exe不是wireshark的一部分,需要单独下载,tcpdump windows版本下载地址
通过tcpdump –D 命令可以列出所有网络设备列表,注意该列表中的网络设备标识与我们在wireshark的设备属性中拷贝的设备标识有一点区别,在wireshark中拷贝的设备标识都有NPF_的前缀,因为wireshark安装的是NPF驱动,这是不一样的,所以wireshark的命令行工具dumpcap.exe使用的网络设备标识以wireshark中查看的为准,而这里的tcpdump.exe使用的网络设备标识以 tcpdump -D命令列出的为准。
我们可以通过tcpdump –D 得出的网络设备列表每一项后面的描述信息,与我们当前使用的网络连接的描述信息比较,可以得出我们需要捕获的网络连接对应的设备标识。
命令说明:
tcpdump.exe -i \Device\{89515393-AC8F-4D23-9A03-AF35F9950E72} -w E:\000\test.pcap -C 2
-i 指定要捕获的网络设备的标识。
-w 指定保存的文件,如果分段则会自动保存为 test.pcap、test.pcap1、test.pcap2 等,这些文件都可以直接拖到wireshark中打开。
-C 注意这里是大写,表示每一个分段文件的大小,单位是M,这里 -C 2 表示2M一个文件。
wireshark长时间抓包分多个文件的更多相关文章
- windows 平台使用wireshark命令行抓包
Windows网络流量大,或则需要长时间抓包时,wireshark图形界面使用起来比较麻烦 wireshark 内置 dumpcap命令 Capture interface: -i <inte ...
- Wireshark和TcpDump抓包分析心得
Wireshark和 TcpDump抓包分析心得 1. Wireshark与tcpdump介绍 Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Window ...
- 转 Wireshark和TcpDump抓包分析心得
1. Wireshark与tcpdump介绍 Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话 ...
- wireshark和tcpdump抓包TCP乱序和重传怎么办?PCAP TCP排序工具分享
点击上方↑↑↑蓝字[协议分析与还原]关注我们 " 介绍TCP排序方法,分享一个Windows版的TCP排序工具." 在分析协议的过程中,不可避免地需要抓包. 无论抓包条件如何优越, ...
- ubuntu系统下wireshark普通用户抓包设置
dumpcap需要root权限才能使用的,以普通用户打开Wireshark,Wireshark当然没有权限使用dumpcap进行截取封包. 虽然可以使用 sudo wireshark ...
- Linux下Wireshark的网络抓包使用方法
Wireshark是世界上最流行的网络分析工具.这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息.与很多其他网络工具一样,Wireshark也使用pcap network ...
- 使用Wireshark对手机抓包设置说明
一.原因 1.手机目前没有类似的抓包工具可以直接对手机进行抓包 2.一般数据交换的路线是:手机——>运营商——>服务器,可以在手机和运营商中间加一道网卡变成:手机——>PC网卡——& ...
- [Wireshark]_003_电子邮件抓包分析
电子邮件是我们的生活工作中经常使用的一种服务,用来联系世界各地的朋友,客户.下面我们就用Wireshark对电子邮件进行抓包. 准备工作: 邮件客户端一款(Outlook,Foxmail,KooMai ...
- wireshark中的抓包过滤器和显示过滤器
一 抓包过滤器 语法说明:BPF语法(Berkeley Packet Filter) 类型Tpye:host,net,port 方向Dir:src,dst 协议Proto:ether,ip,tcp, ...
随机推荐
- SQL Server 列存储性能调优(翻译)
原文地址:http://social.technet.microsoft.com/wiki/contents/articles/4995.sql-server-columnstore-performa ...
- C# Acrobat打开pdf出错,提示Acrobat.AcroPDDocClass不能强制转换为Acrobat.CAcroPDDoc,使用com组件{9B4CD3E7-4981-101B-9CA8-9240CE2738AE},HRESULT: 0x80004002
要批量将PDF文件内容按页转换为图片,在写的过程过程遇到两个问题. 一,下载的SDK中,提示要引用COM组件Acrobat,但在我的电脑上就是看不到,只能看到Adobe Acrobat 7.0 Bro ...
- 【openresty】获取post请求数据FormInputNginxModule模块
关于openresty的一些介绍看这里. 首先,实验背景为openresty作为后台来处理前台post传递的数据. 在openresty内,有一个FormInputNginxModule模块,作用是解 ...
- linq查询一个字段的总和
(from s in dc.StockInItem //所要查询单表 join si in dc.StockIn //联合的表 on s.StockInID equals si ...
- HTML5.dcloud.io-stream-app
dcloud.io提出的Stream App 本文仅仅是关于dcloud.io提出的SteamApp初探,所有内容请参考其官网. 1. Application promotion by scaning ...
- shell 环境初始化顺序
登陆shell 的执行顺序 /etc/profile /etc/profile.d/file /etc/bashrc .bashrc .bash_profile 非登录shell 的执行顺序, 例如: ...
- Centos7 密码重置
1.在grub启动页面,按e编辑启动选项 2.找到Linux 16的那一行,将ro改为rw init=/sysroot/bin/sh 3.按下 Control+x ,使用修改后的设置启动,出现命令行 ...
- Ceph剖析:数据分布之CRUSH算法与一致性Hash
作者:吴香伟 发表于 2014/09/05 版权声明:可以任意转载,转载时务必以超链接形式标明文章原始出处和作者信息以及版权声明 数据分布是分布式存储系统的一个重要部分,数据分布算法至少要考虑以下三个 ...
- flex中下拉框的实现
flex中下拉框的实现 <mx:ComboBox id = "combobox" dataProvider = "{deviceCodeType }" e ...
- error while performing database login with the xxx driver
在MyEclipse的安装路径下D:\Program Files\MyEclipse 6.0\eclipse下面找到eclipse.ini文件,用记事本打开 eclipse.ini文件 -showsp ...