wireshark长时间抓包分多个文件

前言

说一说这个问题的由来,一般使用wireshark不需要长时间抓包的,但是有时候遇到网络通信中非常棘手的问题,例如一个小时出现一次或者几个小时出现一次问题的情况,这种情况下就必须长时间抓包了。但是如果在wireshark中开始抓包之后等上几个小时肯定会出问题,因为这个时候抓包的内容都是存放在内存中的,几个小时的数据包,特别是如果涉及到音视频的数据包是很大的,几个小时可能会达到几个G的大小,这种情况下wireshark会内存溢出,程序直接异常。

这个时候就需要使用wireshark提供的自动分文件存储的功能了。

通过wireshark界面进行设置

可以在wireshark的界面上进行一些设置之后再开启抓包过程,这个时候wireshark会自动根据我们指定的文件名并加上序号和时间来保存每个文件段了,具体过程如下:

选择Capture—Interfaces… 打开网络接口对话框

选择要对其进行抓包的网络设备,点击该条目后面的Options按钮

在该对话框中就可以设置使用多个文件存储抓到的数据,wireshark会根据我们指定的文件名自动指定每一段的文件名,其名字为 “指定的文件名_序号_日期时间.扩展名”,并且该对话框中可以设置各种文件分段的条件,以及停止抓包的条件,非常灵活。

通过这种方式设置进行多文件保存数据非常方便,但是有一个问题如下:

经过长时间抓包之后发现会出现多个 “Closing file!”的对话框,在任务栏上面每一个对话框都会多出一个wireshark的图标,抓包时间越长,文件分段越多该对话框越多,最终会占满整个任务栏。并且只能通过鼠标在任务栏wireshark的图标上右键关闭。通过google搜索发现这是wireshark的一个bug,没有好的解决办法。所以推荐使用命令行的方式进行长时间抓包。

通过命令行工具dumpcap.exe进行抓包

在wireshark安装之后,在其安装目录下会有一个dumpcap.exe的命令行工具,实际上wireshark的界面程序也是使用这个命令行工具工作的,我们可以不需要使用界面,而直接使用该命令行工具进行抓包工作,其命令如下:

命令的含义解释如下:
dumpcap.exe -i \Device\NPF_{845F9D1E-8F0B-4991-9F9A-C55D107A046B} -w d:\000\ddd.pcap -b filesize:50000

dumpcap.exe在wrieshark的安装根目录就可以看到,其中:

-i 表示指定捕获的网卡设备,这里指定的是网卡设备的标识,是一个字符串,可以在wireshark界面程序中查看,如下:

-w 表示保存的路径以及文件名,如果是分文件保存,则会自动命名为ddd_00001_20151221213115.pcap 的形式,也就是“filename_序号_时间.扩展名”。

-b filesize:N  表示指定每个文件的大小是NKB,如上50000表示 50000 KB,也就是50M。

通过命令行的方式抓包长时间运行没有任何问题,推荐使用这种方式。

通过tcpdump的windows版本进行抓包

通过dumpcap.exe命令行的方式进行抓包,可以解决文章开头提出的问题,但是dumpcap.exe该工具只有在安装wireshark之后才会有,该程序的运行也依赖wireshark安装目录下的其他的dll,如果不希望安装wireshark这么繁琐,可以选择使用tcpdump的windows版本,只有一个exe程序没有其他依赖,tcpdump.exe不是wireshark的一部分,需要单独下载,tcpdump windows版本下载地址

通过tcpdump –D 命令可以列出所有网络设备列表,注意该列表中的网络设备标识与我们在wireshark的设备属性中拷贝的设备标识有一点区别,在wireshark中拷贝的设备标识都有NPF_的前缀,因为wireshark安装的是NPF驱动,这是不一样的,所以wireshark的命令行工具dumpcap.exe使用的网络设备标识以wireshark中查看的为准,而这里的tcpdump.exe使用的网络设备标识以 tcpdump -D命令列出的为准。

我们可以通过tcpdump –D 得出的网络设备列表每一项后面的描述信息,与我们当前使用的网络连接的描述信息比较,可以得出我们需要捕获的网络连接对应的设备标识。

命令说明:
tcpdump.exe -i \Device\{89515393-AC8F-4D23-9A03-AF35F9950E72} -w E:\000\test.pcap -C 2
    
-i 指定要捕获的网络设备的标识。
-w 指定保存的文件,如果分段则会自动保存为  test.pcap、test.pcap1、test.pcap2 等,这些文件都可以直接拖到wireshark中打开。
-C 注意这里是大写,表示每一个分段文件的大小,单位是M,这里 -C 2 表示2M一个文件。

时间: 2024-08-21 15:35:11

wireshark长时间抓包分多个文件的相关文章

Wireshark抓包分晰域名

Tcpdump+Wireshark配合使用,可以很方便的抓包分晰安卓系统输出域名,下面简单记录下使用方法. tcpdump抓包方法: android系统有很多版本,相对应的tcpdump也有相对应的版本.一般安卓自带的tcpdump放在/system/bin目录下. 使用adb连接上安卓系统,在data目录下执行下列命令: tcpdump -p -i any -s 0 -C 200 -W 5 -w /data/tcp.pcap -Z root 输入命令后,串口会显示如下的图片: 确认命令有起作用

Wireshark和TcpDump抓包分析对比

常见的抓包分析工具有:微软的Network Monitor和Message Analyzer.Sniff.WSExplorer.SpyNet.iptools.WinNetCap.WinSock Expert.Wireshark和linux的tcpdump等工具 今天,做了实验测试就对比分析其中的两款,其他的大家可以百度谷歌测试一哈^_^ 1. Wireshark与tcpdump介绍 Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用

Wireshark和TcpDump抓包分析心得

? 1. Wireshark与tcpdump介绍 ?Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,因为我工作环境中的Linux一般只有字符界面,且一般而言Linux都自带的tcpdump,或者用tcpdump抓包以后用Wireshark打开分析. 在Windows平台下,Wireshark通过WinPcap进行抓包,封装的很好,使用起来很方便,可以很容易的制定抓

TcpIP协议,HTTP,DNS 实战:基于wireshark与BurpSuit抓包分析

TcpIP协议,HTTP,DNS 实战:基于wireshark与BurpSuite抓包分析

ubuntu系统下wireshark普通用户抓包设置

dumpcap需要root权限才能使用的,以普通用户打开Wireshark,Wireshark当然没有权限使用dumpcap进行截取封包. 虽然可以使用 sudo wireshark 但是,以sudo的方式用root打开Wireshark显然是不安全的,也不是很方便,因为得到的封包数据也属于root用户. 解决这个问题的办法——可以使用用户组功能使用Wireshark,具体操作: 1.添加wireshark用户组 sudo groupadd wireshark 2.将dumpcap更改为wire

wireshark Capture Filter 抓包时崩溃问题解决方法

wireshark过滤抓包时,capture fillter填写完后会崩溃的问题,报The link type of interface \Device\NPF_{11A6562D-E3B3-32BE-AEA1-3ACE8EBC1949} was not specified.错误. 点击Compile selected BPFs直接崩溃. 最后查出来是因为1.11.2导致的问题,我升级到1.11.3后,就没有这个问题了.坑呀. wireshark Capture Filter 抓包时崩溃问题解决

[Wireshark]_003_电子邮件抓包分析

电子邮件是我们的生活工作中经常使用的一种服务,用来联系世界各地的朋友,客户.下面我们就用Wireshark对电子邮件进行抓包. 准备工作: 邮件客户端一款(Outlook,Foxmail,KooMail,...) Wireshark 邮件测试账号两枚 邮件相关协议知识(SMTP协议,POP协议,IMAP协议) 1.邮件客户端设置 [1].打开Foxmail 进行账号设置 [2]设置成功后,写一封邮件先不要发送. 2.Wireshark 抓包前选项设置(主菜单->Caputre->Options

获取youku视频下载链接(wireshark抓包分析)

随便说两句 前两天写了一个python脚本,试图以分析网页源码的方式得到优酷视频的下载地址,结果只得到视频的纯播放地址,下载纯播放地址得到的文件也无法正常播放视频. 这里共享一下播放地址得到的方法(想看的可以展开折叠): # 实验视频地址:http://v.youku.com/v_show/id_XMTY3OTYyODM2NA==.html?f=27873045&from=y1.2-3.2 # 解析到播放地址:http://static.youku.com/v1.0.0646/v/swf/loa

wireshark不支持抓localhost/127.0.0.1的包解决方法

有些时候,测试网络应用时,为了开发方便,我们会在本机同时开启客户端和测试端,对于第三方的库来说,因为不能debug,可能需要通过抓包进行分析,今天用wireshark根据端口抓包的时候,发现怎么都下不来,网上搜了下,wireshark不支持在某些系统下抓本地的包,参考: http://www.bubuko.com/infodetail-998085.html 可从https://www.netresec.com/?download=RawCap下载rawrap进行测试. 虽然如此,不管怎么说,w