介绍

高效过滤
使用高级过滤器可以快速定位特定数据包，如 ip.addr == 192.168.1.1，精确锁定目标IP，大幅提升分析效率。

实时统计
实时统计功能能即时显示数据包数量、大小等关键指标，帮助快速评估网络流量状态，迅速发现异常。

协议解析
Wireshark支持数百种协议的自动解析，通过展开协议树，可以直观查看数据包细节，简化复杂网络协议的分析过程。

流程

抓包工具Wireshark大家都知道，该系统能够有效捕获并深入剖析网络数据包，用以诊断网络运行中可能出现的各类问题，包括但不限于网络延迟、数据传输的丢失现象以及网络拥堵等情况，同时还可以对整体网络性能进行专业性的评估。

当网络里发现恶意攻击、某人下载流量过大、设备互联丢包、协议交互失败等等情况时，通过Wireshark抓包定位问题根源，是最直接有效的手段。

尽管Wireshark的功能非常强大，不过相当一部分网络工程师在运用它时只是浅尝辄止，因此经常会遇到各种各样的难题。

比如：

问题出现时间极不固定，甚至10天才出现一次，你会一直守着抓？

**面对数据流量过大的情况，即使只抓取几秒钟，抓包文件也能迅速达到几百兆，导致系统运行缓慢甚至卡死。在这种情况下，您可以尝试以下操作：

1. 1. 调整抓包设置：降低抓包的精度和范围，例如减少捕获的数据包数量或只捕获特定的协议数据包，以减少捕获的数据量。
2. 2. 增加系统资源：确保您的系统有足够的内存和处理能力来处理大量的数据流量。可以考虑升级硬件或优化系统配置。
3. 3. 分段抓包：将抓包过程分成多个小段进行，每段抓取一定时间的数据，然后暂停，再继续抓取，以避免系统资源被过度占用。
4. 4. 使用高效的抓包工具：选择更高效的抓包工具，这些工具可能对大数据量的处理有更好的优化。
5. 5. 清理不必要的系统进程：关闭不必要的系统进程和应用，释放更多的系统资源给抓包任务使用。
6. 6. 监控系统资源：实时监控系统资源的使用情况，如CPU、内存和磁盘I/O，以便及时发现并解决资源瓶颈问题。

通过以上方法，可以有效应对数据流量过大导致的系统卡死问题，确保抓包任务的顺利进行。**

抓取到的报文虽然内容齐全，但其内部结构错综复杂、缺乏条理，面对这种情况，我们应如何着手进行分析和理解呢？

……

如果你也有以上问题，那这篇文章你一定要看。

01

过滤器捕获技巧

我们都知道，wireshark可以实现本地抓包，同时Wireshark也支持remote packet capture 采用协议（rpcapd）进行远程抓包，关键在于确保在目标主机上正确部署了相应的rpcapd服务模块，这样用户便能够在本地计算机上运行wireshark，从而捕获远端设备的网络数据流。

有些网工可能会出现这种情况，在某企业网发现外网用户telnet到出口设备，不定时出现回显不全，所以决定抓取telnet数据包分析。

用Wireshark捕获了接口所有数据包，2分钟后抓包的电脑死机了，由于流量很大，有用的数据包却一个都没有。

在这种情形下，针对特定网络流量的捕获工作，或是在捕获全部流量中筛选性地忽略部分数据包，显得尤为关键且不可或缺。@网 络 工 程 师 俱 乐 部

使用过滤器的操作步骤如下：

（1）按照顺序依次点击“捕获”菜单项，再选择“选项”子菜单项，在弹出的设置界面中，选择需要捕获数据包的网络接口，然后在“为所选接口指定捕获过滤器”输入框中填入相应的过滤表达式，具体操作请参照下图所示。

（2）在捕获数据包的窗口中可以看到经过捕获过滤器后的数据包，如下图：

（3）捕获过滤表达式的格式：【逻辑运算】+【协议】+【方向】+【类型】+【值】

在编程和逻辑学中，AND、OR、NOT是三种基础逻辑运算符，它们用于组合或反转布尔值（真或假）。AND运算符仅当所有输入条件都为真时，结果才为真；OR运算符只要有一个输入条件为真，结果就为真；NOT运算符则用于反转布尔值，即将真变为假，将假变为真。这些运算符广泛应用于各种算法和决策结构中，以实现复杂的逻辑判断。

协议：ether、ip、icmp、arp、tcp、udp等

请提供您想要进行替换的原始句子，我将根据您的要求，在保持原意的基础上，将其改写为字数增加10%到20%的新句子。

在网络安全和系统管理领域，我们经常遇到诸如主机（host）、网络（net）、端口（port）以及端口范围（portrange）等关键概念。这些概念对于理解网络通信、配置防火墙规则以及进行系统监控至关重要。主机通常指的是网络中的单个设备，例如计算机或服务器，它们通过IP地址在网络中相互识别。网络则是一个更广泛的范畴，它可能指一个局域网（LAN）或广域网（WAN），包含了多个主机和通信线路。端口是主机或网络服务用来与其他设备进行通信的端点，每个端口都与特定的服务或应用程序相关联。而端口范围则是指一系列连续的端口号，常用于同时允许或拒绝多个连续端口的服务通信。理解这些概念有助于网络管理员更有效地配置和管理网络资源，确保网络的安全和高效运行。

常用的捕获过滤表达式如下表：

02

过滤器显示技巧

在运用Wireshark进行网络数据分析时，由于需要从海量的数据包中精准定位目标数据包，因此熟练运用显示过滤器功能显得尤为重要且不可或缺。

在某些特定场景下，例如在某城域网的出口路由器上检测到大量telnet尝试登录失败的日志记录时，可以在出口位置启动抓包操作。经过为期2小时的持续捕获，最终获得了100M容量的抓包文件，并且从这些文件中成功筛选并提取出了所有与telnet相关的数据包，以便进行深入分析。

倘若逐一寻找将会耗费大量时间，而借助显式过滤器则能够轻松应对。

（1）Wireshark打开抓包文件后，在“显示过滤器”栏输入过滤表达式，便可得到经过显示过滤器后的数据包，如下图：

[

]

（2）磨刀不误砍柴工，常用的显示过滤表达式，如下表：

03

借用命令行进行长时间抓包

部分企业用户在操作过程中可能会接收到认证服务器端显示计费服务出现故障的提示信息，根据观察发现此类问题的发生间隔大约为7天。为了准确诊断故障原因，我们计划采用网络抓包技术，通过分析数据包来确认问题是源于接入设备与服务器之间的网络连接故障，抑或是服务器未能及时响应和处理radius相关报文所致。

在iMC服务器网卡抓包，2个小时后发现Wireshark挂死，辛辛苦苦抓下来的包还没保存就没了。@网 络 工 程 师 俱 乐 部

当面对此类场景，采用命令行进行网络数据包捕获是一种高效且便捷的解决方案。这种方法的核心优势在于它能够直接将捕获的数据写入硬盘，从而有效避免了因数据量过大可能引发的内存溢出风险，同时也防止了进程运行异常导致的挂死情况。具体的操作流程请参照以下步骤：

（1）通过ipconfig命令来查看特定抓包网卡的详细描述信息，其展示结果请参考下图所示。

（2）切换至Wireshark的安装路径所在目录，执行tshark -D命令以确认并查看可用于抓包的网络适配器索引编号，其显示结果参照下图所示。

（3）输入tshark命令开启抓包

在第一种应用情境中，鉴于问题触发的时间难以预测且发生次数相对较低，可能需要数小时甚至数天才会出现一次，加之受到硬盘存储容量的制约，我们推荐运用循环式的数据包采集机制。这种机制将不间断地执行数据包的捕获任务，并根据预先设定的文件数量与尺寸规范来生成相应的数据文件。当生成的文件累计数量触及到预设的阈值时，系统会自动启动旧文件的覆盖流程，以此达成硬盘存储空间的高效循环利用目标。

例如：抓包文件大小每100KB后自动新建一个文件，文件个数为10个，保存到D盘根目录，超过后自动替换（共占用1M空间），输入命令“tshark -b filesize:100 -b files:10 -w d:/yhy1m10.pcap -i 1”（-b 循环抓包；Filezise:每个分包大小（KB）；Files:总分包个数；-w 保存的文件路径及文件名称；-i 网卡接口号），如下图：

第二种情况是问题定位需要长时间抓包，硬盘的空间足够，希望分析抓包网卡全部数据，我们可以采用持续抓包法，持续抓包不断生成指定大小文件，直到硬盘空间满了为止。

例如：每个文件大小20M，保存到D盘根目录，输入命令“tshark -b filesize:2000 -w d:/ yhy20m.pcap -i 1 ”，待问题复现后，ctrl+c停止抓包。

（4）在指定的文件目录中进行抓包文件的获取和分析工作，具体可以参考下方的循环抓包文件示例。

04

将TXT文件转为pcap文件

如果在某个发电站中，负责数据上传的设备中央处理单元（CPU）所发送的报文频繁出现超时现象，当启动调试模式以获取原始的二进制数据信息进行故障排查时，面对屏幕上混乱且难以理解的调试信息，可能会感到十分困惑和不知所措，其表情和状态仿佛如下图所示：

如果您提供了.pcap的抓包文件，那么当我打开并查看这个文件时，您将会看到报文中的各个字段都清晰易懂，具体的情况可以参考下图所示。

倘若您对于如何操作尚不熟悉，相关的操作步骤已经为您悉心准备就绪。

（1）请将调试信息以.txt文件格式进行保存，并将该文件放置于Wireshark软件的安装根目录下。

（2）cd命令切换到Wireshark的安装根目录，如下图：

（3）通过运行text2pcap.exe应用程序，可以将文本格式的.txt文件成功转换成pcap数据包格式的.pcap文件，具体操作步骤请参考下方的示例图示。

05

过滤器捕获技巧

在您热衷于深入分析数据包的过程中，当您打开抓包文件时，一个常见的问题便是显示窗口的列头发生了重叠现象，这种情况导致您无法完整地查看源地址和目的地址的具体信息，就像您所提供的图示那样。

当然，您可以选择手工操作来调整，不过这种方式不仅不够美观，而且会消耗较多时间，或许您可以尝试使用快捷键Ctrl+Shift+R（用于自动调整列框）或者通过“视图”菜单中的“调整列宽”选项来进行操作，这样不仅看起来更加美观，而且能够节省宝贵的时间和精力，具体效果请参考下图所示。

06

过滤器捕获技巧

在解决认证异常问题时，对RADIUS报文交互过程的分析显得尤为关键。首先，应当绘制相应的流程图，以便直观地展现报文的交互路径。接着，需要逐个对报文进行细致的标注，明确每个报文的内容和功能。最后，将这些实际交互过程与标准协议的交互过程进行对比，从而深入分析认证失败的原因。

当协议的复杂程度较高且报文数量庞大时，若试图通过绘制图形来进行标注，往往需要耗费大量的时间和精力，并且最终呈现的图形可能仍然难以清晰地展示信息。

在Wireshark软件中，流量图功能模块能够有效地协助我们完成图形的绘制与标注工作。当您成功打开一个网络抓包文件之后，可以通过依次点击“统计”菜单项，再选择“流量图”子菜单项来启动该功能。在弹出的设置窗口中，将“显示”选项调整为“显示的分组”模式，其具体界面形态请参照相关图片。通过将此图形与标准的RADIUS协议交互流程进行详细对比分析，即可直观地识别出其中存在问题的具体步骤或环节。

07

过滤器捕获技巧

有些小伙伴在部署WLAN时使用Wirelessmon扫描，可能会发现有个别MAC地址为00:74:9C开头的无线SSID和自己工作在同一信道，功率很大，对自己的干扰很大。

若需识别具体是哪家厂商生产的AP，可以关注其MAC地址的前三个字节，这些字节构成了设备厂商标识符，据此便能判定其归属厂商。

此时，Wireshark的安装目录中包含的manuf文件便可以开始发挥作用，通过查询我们可以发现，MAC地址00:74:9C所对应的厂商是R厂商，具体的情况可以参考下方的图片所示。

08

抓包文件数据包统计分析

针对商场网络流量异常情况，作为项目负责人，到达现场后首先使用Wireshark进行了为期15分钟的抓包操作。在分析过程中，发现捕获的数据包总量达到了80MB。面对如此庞大的数据量，如果采用手工统计的方式，不仅效率低下，而且难以保证准确性。单纯依靠粗略浏览和主观感觉进行判断更是不可靠的。因此，迫切需要寻找一种高效且准确的解决方案来应对这一挑战。@网 络 工 程 师 俱 乐 部

尽管Wireshark功能强大，但依然有办法有效应对这种情况。具体操作为，首先点击软件界面中的“统计”菜单，然后选择“会话”这一选项。在弹出的窗口里，可以分别依据数据包的数量和字节的总大小来进行排序和统计。通过这样的方法，能够迅速地识别出哪些IP地址之间的数据流量最为密集。随后，可以将排查的重点集中在这些流量最大的IP地址上。例如，根据下图所示的数据，我们可以发现10.63.16.77和10.88.14.119这两个IP地址之间的通信量是最大的，因此它们应该成为后续排查工作的主要对象。

09

报文数据字段解码

如果在某火车站检测到服务器持续无法接收防火墙发送的userlog日志，为了判断问题是出在服务器无法解析日志，还是防火墙的userlog数据包根本没有到达服务器，我们可以在服务器的网卡上启动数据包捕获功能进行监控。

（1）乍看一眼，不是userlog数据包，看山不是山，如下图：

（2）注意查看防火墙上userlog的端口不是默认的，你恍然大悟，“分析”→“解码为”，选择端口和对应的协议userlog，如下图：

（3）你清晰地看到了userlog数据包的各字段，如下图，看山还是山，服务器收到了userlog数据包，只是无法解析。

10

抓包文件“瘦身”技巧

作为一位勤奋好学的人，你最近正在深入研究中http协议的相关知识，并且需要从一块大小为50M的抓包文件中，将http协议部分筛选出来并单独保存，以便于将它们巧妙地插入到word文档中，从而方便自己日后查阅和参考。

（1）在经过显示过滤器处理之后，依然能够观察到数据包数量较为庞大，“文件”菜单项下选择“导出特定分组”，在弹出的选项中勾选“all packets”以及“displayed”两项，随后进行保存操作，具体界面形态参照下图所示。

（2）若需仅将部分数据包进行存储，可按以下步骤操作：“标记分组”菜单项下选择“文件”子项，再点击“导出特定分组”，在弹出的选项中勾选“marked packets”与“displayed”两项，最后进行保存操作，具体界面形态参考下图所示。

阅读原文：原文链接