拿到

抓包

网包的时候，我们总是希望它尽可能小。 因为操作大包需要时间，有时也会死机。 我想如果让初学者分析1GB以上的包的话，会受到打击而变得没有自信。 所以抓包的时候应该尽量只抓需要的部分。 实现这个的方法有很多。

1只抓包头。

可以更准确地捕捉到一般被称为“帧”的各个数据包，但由于表现习惯，本书经常使用“数据包”来代替“帧”和“段”。 最大长度为1514字节，如果启用巨型帧，则长度将达到9000字节以上，但大多数情况下，要在Wireshark中捕捉标头，请单击菜单栏上的CaptureOptions，然后单击我一般设定大数字。 80字节。 也就是说，每个数据包只捕获前80个字节。 由此，可以包含TCP层、网络层、数据链路层的信息。

交流平台：

win平台也基本一致：

在win vm上进行实验，设定不同的信息大小，分别捕捉1min的信息包时，所捕捉到的信息大小出现了明显的差异。

使用tcpdump命令抓取包时，“s”参数产生相同的效果。 例如，以下命令只捕获eth0中每个包的前80个字节，并将结果保存在/tmp/tcpdump.cap文件中

[根@服务器_1/] # tcpdump-ieth0- S80-w/tmp/tcpdump.cap

2只抓必要的包。

服务器的网络连接可能非常多，但只需要其中的一小部分。 Wireshark的捕获过滤器可以在抓包时过滤掉不需要的包。

如果您对更多过滤器表达式感兴趣，请访问http://wiki.wireshark.org/capture filters。 使用tcpdump命令抓取包时，“host”参数也会得到相同的效果。 例如，以下命令只捕获与10.32.200.131通信的包，并将结果保存在/tmp/tcpdump.cap文件中。

[根@服务器_1/] # tcpdump-ieth 0主机10.32.200.131-w/tmp/tcpdump.cap

注意：在设置捕获过滤器之前，请仔细考虑不要过滤有用的数据包，特别是容易被忽略的广播数据包。 当然，无论怎么想，也有失误的时候。 例如，我有一次把对方的IP地址做了filter，结果一个数据包也没抓住。 最后除了filter之后，只能抓住，终于NAT (网络地址转换)设备改变了对方的IP地址。 的包不仅小，最好能在各步骤的操作上做标记。 这样的包一目了然，赏心悦目。

抓包的技巧还有很多。 例如，可以写脚本使包循环，侦察到某个事件后自动停止。

3过滤

大多数情况下，解决问题的过程是按层过滤，直到找到关键包。

3.1 .如果已知某个协议有问题，也可以按协议名进行过滤。 例如tcp、arp等。

3.2. IP地址和端口号是最常用的过滤方式。 除了手动输入过滤器表示形式(如ip.addreqIP地址tcp.porteq端口号)外，还可以通过右键单击感兴趣的包并选择FollowTCP/UDPStream来自动进行过滤

3.3 .用鼠标帮助过滤。

我们有时在Wireshark上烦恼，并不是因为它的功能不足，而是因为它强大到难以控制。 例如在过滤中，可以选择上千个条件，但是怎么写是合乎语法的呢？ 3http://WWW.wireshark.org/docs/df ref /可以作为参考，但是仔细找太花时间了。 Wireshark考虑到了这一需求，在Wireshark中右键单击感兴趣的内容，选择PrepareaFilterSelected后，将在过滤器框中自动生成过滤器表达式。 如果有复杂的需求，也可以选择“与”、“或”等选项来生成组合的筛选器表达式。 如果右键单击并选择ApplyasFilterSelected而不是PrepareaFilter，则在生成筛选器表达式后将自动执行。

3.4 .我们可以把过滤得到的网包保存在新的文件里。 因为小文件更容易操作。 如果单击Wireshark中的“FileSaveAs”，然后选择“Displayed”单选按钮进行保存，则生成的新文件将是过滤的部分。