捕获实时网络数据
WireShark 的主要功能就是实时捕获网络数据。
先决条件
WireShark 捕获过程需要和操作系统底层打交道,因此可能需要一些设置来正确的执行捕获。
windows
Windows 下需要安装NPcap驱动程序。
Linux
通过包管理器直接安装会出现一个问题就是必须 sudo 权限才能够真正的捕获实时流量,这是因为dumpcap工具必须具有 root 权限才能够运行。
Tips
WireShark 推荐的方法是 root 用户实时捕获并保存文件,普通用户来解析。
开始捕获
要开始捕获首先需要选择捕获的网卡,只需要双击欢迎屏幕中罗列的网卡即可(或选择后执行 Capture -> Start 来开始):
可以在 Capture -> Options 中获取可用接口的更多信息:
Tips
WireShark 不仅仅能够捕获网卡,甚至还能够捕获 USB、蓝牙等其他类型的数据包。