WireShark中“捕获接口”对话框的输出功能
在一个十分繁忙的网络中工作时,可能很短时间内,就会得到一个十分巨大的文件。这样在分析起来时会十分麻烦,有时WireShark甚至会无法打开这样巨大的文件(你会发现WireShark停止响应)。一种有效的方法就是将这些数据包保存到多个文件中
WireShark中环状缓冲区
多文件输出的时候,如果不希望这个文件的个数一直在增加,可以选择使用环形缓冲器,这样WireShark就不会不断的产生新的文件。
在WireShark捕获接口对话框中除了“输入”和“输出”,还有一个“选项”按钮,在这个按钮提供了三种功能,分别是显示选项、解析名称和自动停止捕获。
下面列出了4个可以触发停止捕获的条件,我们可以勾选其中的一项或者几项。这4个条件的意义如下所示:
在WireShark中保存捕获到的数据
这个保存过程也可以在数据包捕获完成之后进行。在完成了一个捕获过程之后,我们对其进行了分析。之后的工作就是要将这些数据包作为一个文件保存到硬盘上。这个文件可以包含全部的数据包,也可以只包含那些符合过滤规则的数据包。
我们可以只将那些符合捕获规则的数据包保存起来
在WireShark中保存显示过滤器
如果经常使用的过滤器也可以保存起来,以便于以后再次使用。具体的做法是依次单击菜单栏上的“分析”->”显示过滤器”,打开WireShark的显示过滤器编辑窗口
dfilters中的每一个显示过滤器都以一行的两个部分来显示。分别表示显示过滤器的名称和显示过滤器的内容。
目录中的cfilters保存了你所设置的捕获过滤器,dfilters中保存了显示过滤器,colorfilters中保存的着色规则。preferences中保存了首选项设置,这些文件都保存在了硬盘上。当我们在安装WireShark的时候,系统就会自动的产生一个“Global configuration”目录,默认的配置文件都在这个目录中。如果你对默认配置文件进行了修改之后,这些改动会保存在“Personal configuration”目录中。
若有收获,就点个赞吧
0 人点赞
