多くの場合、WireShark を使用しているときは、フレームの内容をキャプチャする必要はありません。基本的に、トラフィックが流れていることを確認し、いくつかのフラグ (FIN ACK など) をチェックしているだけです。それでも、デフォルトの設定では、(フィルター処理された) NIC が認識するすべてのものをキャプチャするため、HD がすぐにいっぱいになる可能性があります。
内容をキャプチャせずに要約行だけを表示する設定はありますか?
3294 次
1 に答える
3
フレームのコンテンツをキャプチャする必要はありません...基本的には、トラフィックが流れていることを確認し、いくつかのフラグ (FIN ACK など) をチェックするだけです。
したがって、必要なのは TCP ヘッダー (および TCP ヘッダーの前にあるすべてのパケット データ) だけです。典型的な IPv4 ヘッダーは、典型的な TCP ヘッダーと同様に 20 バイトの長さであるため、通常、イーサネットでは、パケットの最初の 54 バイトをキャプチャするだけで済みます。IPv6 の場合、一般的なヘッダーの長さは 40 バイトであるため、イーサネットでは通常、最初の 74 バイトだけが必要になります。ただし、IPv4 および TCP ヘッダーにはオプションがあり、IPv6 ヘッダーには拡張ヘッダーがある場合があるため、IPv4 の場合は 68 バイト、IPv4 または IPv6 の場合は 96 バイトをキャプチャする方がよい場合があります。
他のネットワークでは、リンク層ヘッダーの長さに基づいてその値を調整する必要があります。802.11 の場合、モニター モードでない場合は、おそらく「偽のイーサネット」ヘッダーを取得するため、イーサネットに使用される値が機能します。モニター モードの 802.11 の場合、「ラジオタップ」ヘッダーまたはその他の「ラジオ メタデータ」ヘッダーがある可能性があるため、802.11 ヘッダー + ラジオ メタデータ ヘッダーの大きさを確認するには、マシン上のいくつかのキャプチャを確認する必要があります。 .
使用する必要がある「スナップショットの長さ」がわかったら、Wireshark 1.8 以降のインターフェース オプションの「各パケットを [ ... ] バイトに制限する」フィールドで指定できます。 1.8。
Wireshark は、キャプチャしたパケット データの量が限られている場合でも、パケットの詳細を表示するため、要約行だけが表示されるわけではありません。ただし、パケットあたりのデータ量が少なくなり、ディスク スペースが節約されます。
于 2013-07-19T09:30:25.460 に答える