02. 抓包及保存 ❀ 数据包分析工具 Wireshark

        【简介】我们可以利用 Wireshark 软件抓取接口的数据包并保存下来，慢慢分析数据包的内容。

---

  Wireshark 抓包与保存

        安装 Wireshark 的时候选择将图标放于桌面，或者是建快捷方式到桌面，这样启动更快。

        ① 在桌面找到 Wireshark 图标，双击打开。

        ② Wireshark 主界面会显示当前电脑有哪些网卡在工作，点击网卡会显示MAC地址和IP地址等信息，双击网卡就会捕获该网卡接受的信息。

        ③ 捕获窗口会显示数据包列表及数据包的详细信息，最下跳动的数字显示捕获了多少个数据包。当需要停止捕获的时候，点击红色方形图标。

        ④ 拉动数据包列表面板右边的滚动条，可以查看所有捕获到的数据包，因为已经停止捕获了，最下面可以看到临时保存的文件名和数据包总数。

        ⑤ 选择菜单【文件】-【另存为】。

        ⑥ 选择需要保存文件的目录，输入文件名，点击【保存】。

        ⑦ 文件保存成功，扩展名为pcapng。

  Wireshark 自动保存

　　如果所抓取的数据包太多，保存在一个文件里不利于查找，可以将数据包分多个文件存放。

        ① 启动 Wireshark ，点击齿轮状的抓包图标。

        ② 选择【输出】子菜单，点击【浏览】按钮。

        ③ 选择文件保存的目录，输入文件名称，点击【保存】。

        ④ 回到输出子窗口，选择【自动创建新文件】，这里我们以指定的文件大小2M来保存文件。

        ⑤ 选择【选项】子菜单，设置生成5个文件后就自动停止捕获。

        ⑥ 回到【输入】子菜单，选择捕获数据包的网卡接口，点击【开始】。

        ⑦ 每个文件2M，五个文件一共是10M，很快捕获完成，捕获自动停止了，可以看到最后保存的文件有2447个捕获包。

        ⑧ 在指定的保存目录下可以看到自动保存的五个文件，大小都是2M。

  Wireshark 打开数据包文件

　　虽然 Wireshark 将10M 数据保存在五个文件里，但在窗口里只显示当前文件的数据包内容，需要打开指定文件才能查看到相应的内容。

        ① 打开 Wireshark，选择菜单【文件】-【打开】。

        ② 选择需要打开的数据包文件，在文件属性里可以看到文件的大小、数据包数量第一个包抓取的时间等信息。

        ③ 和文件信息一致，一共可以看到2853个数据包的信息。

老梅子   QQ：57389522

---