在 捕捉时,libpcap 捕捉引擎(linux环境下)会抓取来自网卡的包存放在(相对来说)较小的核心缓存内。这些数据由Wireshark读取并保存到用户指定的捕捉文件中。
保存包数据到捕捉文件时,可采用差异模式操作。
![[]](wsug_graphics/Tip.png) | 提示 |
|---|---|
处理大文件(数百兆)将会变得非常慢。如果你计划进行长时间捕捉,或者处于一个高吞吐量的网络中,考虑使用前面提到的"Multiple files/多文件"选项。该选项可以将捕捉包分割为多个小文件。这样可能更适合上述环境。 |
![[]](wsug_graphics/Note.png) | 注意 |
|---|---|
使用多文件可能会切断上下文关联信息。Wireshark保留载入包的上下文信息,所以它会报告上下文关联问题(例如流问题)和关联上下文协议信息(例如:何处数据产生建立阶段,必须查找后续包)。这些信息仅能在载入文件中显示,使用多文件模式可能会截断这样的上下文。如果建立连接阶段已经保存在一个文件中,你想要看的在另一个文件中,你可能无法看到可用的上下文关联信息。 |
| 提示 |
|---|---|
关于捕捉文件的目录信息,可见??? |
表 4.1. 捕捉文件模式选项
| "File"选项 | "Use multiple files"选项 | "Ring buffer with n files"选项 | Mode | 最终文件命名方式 |
|---|---|---|---|---|
| - | - | - | Single temporary file | etherXXXXXX (where XXXXXX 是一个独立值) |
| foo.cap | - | - | Single named file | foo.cap |
| foo.cap | x | - | Multiple files,continuous | foo_00001_20040205110102.cap, foo_00002_20040205110102.cap, ... |
| foo.cap | x | x | Multiple files,ring buffer | foo_00001_20040205110102.cap, foo_00002_20040205110102.cap, ... |
- Single temporary file
将会创建并使用一个临时文件(默认选项).捕捉文件结束后,该文件可以由用户指定文件名。
- Single named file
使用单独文件,如果你想放到指定目录,选择此模式
- Multiple files,continuous
与single name file模式类似,不同点在于,当捕捉达到多文件切换临界条件时之一时,会创建一个新文件用于捕捉
- Multiple files,ring buffer
与"multiple files continuous"模式类似,不同之处在于,创建的文件数目固定。当达到ring buffer with n值时,会替换掉第一个文件开始捕捉,如此循环往复。
该模式可以限制最大磁盘空间使用量,即使未限制捕捉数据输入,也只能保留最后几个捕捉数据。