网页视频抓取软件 格式工厂(网络封包分析软件的功能和基础界面介绍（一）)

　　网页视频抓取软件 格式工厂(网络封包分析软件的功能和基础界面介绍（一）)

　　Wireshark（以前的 Ethereal）是一个网络数据包分析软件。网络数据包分析软件的功能是捕获网络数据包，并尽可能显示详细的网络数据包信息。Wireshark 使用 WinPCAP 作为接口直接与网卡交换数据包。

　　

　　基本界面介绍

　　

　　Wireshark 软件界面有以下功能区：

　　· 菜单栏：对Wireshark软件进行各种配置操作，比如保存抓包。

　　工具栏：快速调用一些常用操作，如：开始抓图、停止抓图、设置抓图界面等。

　　· 过滤栏：在过滤栏中设置过滤条件，软件界面会根据过滤条件显示要查看的数据包。

　　· 抓包区：查看抓包。

　　· 数据包封装区：查看数据包的封装协议。

　　· 留言内容区：查看留言的具体内容

　　启动抓包软件后，选择对应的网卡，双击需要抓包的网卡，如以太网（服务器

　　服务器一般有多个网卡。抓包前请确认需要抓包的网卡。一般检查下方是否有波浪线。

　　可以判断网卡是否在产生流量。)

　　

　　点击抓包界面后，可以看到实时收到的数据包。Wireshark 自动捕获系统发送和接收的每条消息。工具栏：控制监控的行为，如开始抓包、停止抓包、重新开始抓包、包间跳转等。

　　数据包分析

　　可以分析相关的数据包，可以使用一些命令对对应的数据包进行分类，例如：

　　根据源IP地址过滤：ip.src_host==xxxx

　　

　　根据目的 IP 地址过滤：ip.dst_host==xxxx

　　

　　根据源 tcp 端口过滤：tcp.srcport==80、tcp.dstport==80, || 代表“或”语句

　　

　　根据协议，如arp、tcp、udp、http、ospf、rip等，可以直接输入协议名进行过滤

　　

　　

　　几种常见的过滤规则（含义：C语言/英文），两种语法在使用时都可以使用：

　　等于： == / eq ; 不等于：!= / ne

　　小号：/gt

　　小于等于：=/ge

　　逻辑与（和）：&& / 和

　　逻辑或：|| / 或者

　　逻辑非：！/不是

　　捕集器过滤器

　　以上就是对捕获的数据包进行分析和过滤的方法。

　　对于需要长时间抓包或短时间内产生大量流量的场景，单个数据包的容量会非常大，不方便后期传输和打开。数据包根据需要进行分段，步骤如下：

　　1、 启动wireshark，点击菜单栏上的“Capture”，点击第一个菜单选项（Option）进入选项页面。

　　

　　2、在打开的选项卡中点击输入选项，选择需要抓包的网卡，在过滤器中设置过滤条件（直接抓包和过滤）。例如：（主机 12.1.1.1 或主机 12.1.1.2 || 主机 12. 1.1.1) 和端口 80 或端口 21

　　

　　这里的过滤条件和之前直接爬取后的包过滤器的字段表示格式不同。可以参考内置索引：

　　

　　在“输出”选项中，设置保存位置和文件名，设置文件分片条件，可以根据文件大小（比如抓包达到100M时进行分片，下一个包被创建，等等），持续时间等：

　　

　　在“选项”中，设置捕获停止条件，可以基于组数或持续时间。然后点击开始：

　　

　　Wireshark是业界网络（系统）运维、应用开发等领域常用的通用报文采集分析软件。它对于网络分析和故障排除非常实用。要深入了解该工具的使用，您需要对整个 TCP/IP 协议和业务应用程序协议有扎实的了解。