Gavin's Linux學習手札
關於部落格
原本這個 Blog 是用來記錄研究 Linux 的學習過程, 後來變成記錄生活與工作, 這個 Blog 裡的文章已成為我不可缺少的回憶。
  • 522631

    累積人氣

  • 4

    今日人氣

    0

    訂閱人氣

使用 Wireshark 長時間側錄封包並分多個封包記錄檔

 1. 選擇「Capture / Options」。

2. 選擇要側錄的介面。

3. 選擇「Output」分頁。
 ● Capture to a permanent file
  File: <選擇要自動儲存的路徑及檔案>
 ● Output format: [選擇輸出格式 pcap-ng or pcap]
 ● Create a new file automatically after... [選擇自動分檔的條件,依檔案大小 or 時間]
 ● Use a ring buffer with __ files [可選擇要 Recycle 的檔案數,避免檔案數一直成長]

4. 選擇「Options」分頁。
 ● Stop capture automatically after... [可選擇自動停止側錄的條件]

5. 上述設定完就可以開始長時間側錄,但建議一個封包記錄檔不要超過 200MB 以上,不然在儲存檔案或分析記錄檔時會花費很多時間在載入及Rescan。

6. 若希望只側錄部份 IP 或 Port 減少封包記錄檔的大小,可使用 Capture filter 功能。
 例如:只側錄 10.0.0.0/24 連線至 192.168.0.1/192.168.0.3/192.168.0.5 這三台伺服器的連線
    Capture filter: (host 192.168.0.1 or host 192.168.0.3 or host 192.168.0.5) and net 10.0.0.0/24

7. 如果常用這個篩選條件,可以按左邊的書籤,選擇「Save this filter」,將該篩選條件儲存。

8. 或選擇「Manage Capture Filters」管理篩選條件。

9. 若選擇「Manage Capture Filters」會出現下圖,點選「+」號新增。

10. 雙擊名稱及條件可修改。

11. 新增完成後,之後可以點擊書籤的符號,將篩選條件叫出來重覆使用。




資料參考來源:
wireshark长时间抓包分多个文件


相簿設定
標籤設定
相簿狀態