如果您从捕捉菜单选择"start..."按钮(或者从主工具栏选择对应的项目),Wireshark弹出"Capture Option/捕捉选项"对话框。如图 4.2 “"Capture Option/捕捉选项"对话框”所示
![[]](wsug_graphics/Tip.png) | 提示 |
|---|---|
| 如果你不了解各项设置的意义,建议保持默认。 |
你可以用对话框中的如下字段进行设置
- Interface
该字段指定你想用于进行捕捉的借口。一次只能使用一个接口。这是一个下拉列表,简单点击右侧的按钮,选择你想要使用的接口。默认第一是支持捕捉的non-loopback(非环回)接口,如果没有这样的接口,第一个将是环回接口。在某些系统中,回借口不支持捕捉包(windows平台下的环回接口就不支持。)
在命令行使用-i <interface>参数可以替代该选项
- IP address
- 表示选择接口的IP地址。如果系统未指定IP地址,将会显示为"unknown"
- Link-layer header type
- 除非你有些特殊应用,尽量保持此选项默认。想了解更多详情,见 第 4.7 节 “链路层包头类型”
- Buffer size: n megabyte(s)
输入用于捕捉的缓层大小。该选项是设置写入数据到磁盘前保留在核心缓存中捕捉数据的大小,如果你发现丢包。尝试增大该值。
![[]](wsug_graphics/Note.png)
注意 该选项仅适用于Windows平台
- Capture packets in promiscuous mode
指定Wireshark捕捉包时,设置接口为杂收模式(有些人翻译为混杂模式)。如果你未指定该选项,Wireshark 将只能捕捉进出你电脑的数据包(不能捕捉整个局域网段的包)[13]
注意 如果其他应用程序将网卡设置为杂收模式,即使不选中该选项,也会工作于杂收模式下。
注意 即使在杂收模式下,你也未必能够接收到整个网段所有的网络包。详细解释见http://www.wireshark.org/faq.html#promiscsniff
- Limit each packet to n bytes
指定捕捉过程中,每个包的最大字节数。在某些地方被称为。"snaplen".[14]如果禁止该选项,默认值为65535,这适用于大多数协议,下面是一些大多数情况下都适用的规则(这里又出现了拇指规则,第一章,系统需求时提到过。这里权且翻译作普适而非绝对的规则))
如果你不确定,尽量保持默认值
如果你不需要包中的所有数据。例如:如果您仅需要链路层、IP和TCP包头,您可能想要选择一个较小的快照长度。这样只需要较少的cpu占用时间用于复制包,包需要的缓存也较少。如此在繁忙网络中捕捉时丢失的包也可能会相应少一点。
如果你没有捕捉包中的所有数据(适用snpaplen截断了包),你可能会发现有时候你想要的包中的数据部分被截断丢弃了。或者因为缺少重要的部分,想对某些包进行重组而发现失败。
- Capture Filter
指定捕捉过滤。捕捉过滤器将会在有第 4.8 节 “捕捉时过滤”详细介绍,默认情况下是空的。
同样你也可以点击捕捉按钮,通过弹出的捕捉过滤对话框创建或选择一个过滤器,详见第 6.6 节 “定义,保存过滤器”
捕捉文件设置的使用方法的详细介绍见第 4.6 节 “捕捉文件格式、模式设置”
- File
指定将用于捕捉的文件名。该字段默认是空白。如果保持空白,捕捉数据将会存储在临时文件夹。详见第 4.6 节 “捕捉文件格式、模式设置”
你可以点击右侧的按钮打开浏览窗口设置文件存储位置
- Use multiple files
如果指定条件达到临界值,Wireshark将会自动生成一个新文件,而不是适用单独文件。
- Next file every n megabyte(s)
仅适用选中Use multiple files,如果捕捉文件容量达到指定值,将会生成切换到新文件
- Next file every n minutes(s)
仅适用选中Use multiple files,如果捕捉文件持续时间达到指定值,将会切换到新文件。
- Ring buffer with n files
仅适用选中Use multiple files,仅生成制定数目的文件。
- Stop caputure after n file(s)
仅适用选中Use multiple files,当生成指定数目文件时,在生成下一个文件时停止捕捉(生成n个还是n+1个文件?)
- ... after n packet(s)
在捕捉到指定数目数据包后停止捕捉
- ... after n megabytes(s)
在捕捉到指定容量的数据(byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) )后停止捕捉。如果没有适用"user multiple files",该选项将是灰色
- ... after n minute(s)
在达到指定时间后停止捕捉
- Update list of packets in real time
在包列表面板实时更新捕捉数据。如果未选定该选项,在Wireshark捕捉结束之前将不能显示数据。如果选中该选项,Wireshark将生成两个独立的进程,通过捕捉进程传输数据给显示进程。
- Automatic scrolling in live capture
指定Wireshark在有数据进入时实时滚动包列表面板,这样您将一直能看到最近的包。反之,则最新数据包会被放置在行末,但不会自动滚动面板。如果未设置"update list of packets in real time",该选项将是灰色不可选的。
- Hide capture info dialog
选中该选项,将会隐藏捕捉信息对话框
- Enable MAC name resolution
设置是否让Wireshark翻译MAC地址为名称,见第 7.6 节 “名称解析”
- Enable network name resolution
是否允许Wireshark对网络地址进行解析,见第 7.6 节 “名称解析”