通常当我使用WireShark时,我并不需要捕获帧的内容。我基本上只是确保一些流量正在流动,并且可能检查一些标志(FIN ACK等)。然而,默认设置是捕获(过滤的)NIC看到的所有内容,这可以很快地填满我的HD。
是否有设置,您可以在不捕获内容的情况下查看摘要行?
答案 0 :(得分:3)
我真的不需要捕获帧的内容......我基本上只是确保一些流量正在流动,并且可能检查一些标志(FIN ACK等)
因此,您只需要TCP标头(以及TCP标头之前的所有数据包数据)。典型的IPv4报头长度为20个字节,与典型的TCP报头一样,因此,在以太网上,通常只需要捕获数据包的前54个字节。对于IPv6,典型的标头长度为40个字节,因此,在以太网上,通常只需要前74个字节。但是,IPv4和TCP标头可能具有选项,并且IPv6标头可能具有扩展标头,因此捕获68字节用于IPv4或96字节用于IPv4或IPv6可能更好
对于其他网络,您必须根据链路层标头长度调整该值。对于不处于监控模式的802.11,您可能会获得“假的以太网”报头,因此用于以太网的值将起作用;对于监控模式下的802.11,您可能有一个“radiotap”标头或其他一些“无线电元数据”标头,因此您必须查看计算机上的一些捕获信息,以查看802.11标头+无线电元数据标头的大小。
一旦知道了应该使用的“快照长度”,就可以在Wireshark 1.8及更高版本或“捕获选项”中的接口选项的“将每个数据包限制为[...]字节”字段中指定它1.8之前的对话框。
Wireshark仍将显示它捕获的数据包数据有限的数据包详细信息,因此您不会看到仅摘要行。但是,您将获得每个数据包较少的数据,从而节省磁盘空间。