相关阅读

视频讲解

🎉欢迎加入Wireshark大师课程的第三章,这一期我们带你走进命令行的世界,学习如何用它来捕获数据包。😎什么?听起来有点复杂?别担心,我们有详尽的步骤讲解,无论你是Windows用户还是Mac用户,我们都会指导你如何正确地使用命令行工具。🚀从DumpCap到TCPdump,从防火墙到负载平衡器,甚至是如何在本地机器上使用命令行工具,这一切我们都会涵盖。✨让我们一起深入到Wireshark的神秘之处,探索更多隐藏的功能,把你从Wireshark新手变为大师!🏆来吧,打开命令行,一起捕捉数据包!🔥🔥让我们开启这场知识的冒险旅程!🔍在接下来的课程中,还会有更多惊喜等着你,我们期待你的参与!👏👏

图文讲解

嗨,数据包大师们,欢迎回来,现在我们进入了Wireshark大师课程的第三课。现在,在这一课中,我们要做的是看看命令行,学习如何使用命令行工具进行捕获。现在,在一些环境中,使用命令行来捕获比使用Wireshark的用户界面要容易得多。

图片[1]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

所以打开命令行,让我们捕捉一些数据包。好的,所以在这一课中,我们将谈论命令行工具。现在,当你安装Wireshark时,你也安装了几个工具,我们将逐步谈论这些工具,因为我们在课程中继续前进。所以像MergeCap、EditCap、Tshark。

图片[2]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

但在这种情况下,我们要谈的是如何使用DumpCap或TCPdump来捕获。现在,也许在过去我们已经从防火墙或负载平衡器使用这些类型的工具之一捕获,而现在我们要学习如何从我们的本地机器做它。好的,我将向您快速展示如何在命令提示符或终端中访问命令行工具,取决于你的操作系统。我只是要告诉你如何在Windows上做,然后我们要翻转到Mac,并告诉你它在那里。所以在Windows上,如果我们只是进入我们的搜索,我们只是要键入,我们可以选择命令提示符或输入CMD,就能找到它。

图片[3]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

现在,就在一开始,如果你开始输入像Tshark或DumpCap这样的东西,现在,除非你实际上有Wireshark目录作为你路径的一部分,这个工具不会马上工作。你必须把Wireshark目录作为路径的一部分。现在,有一些方法可以做到这一点,但只是为了真正理解这个原则,我只是要备份几个目录,我将进入我的程序文件,然后我将进入Wireshark,如果我可以输入它。好,所以在Wireshark中,那里,我实际上有我的命令行工具。

图片[4]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

所以在那里,我将看到Tshark,

图片[5]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

而我要到这里来,我可以看到其他一些,我实际上可以使用的,MergeCap,等等。

图片[6]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

所以这就是它们实际所在的位置。所以从这里,我将能够做DumpCap,TCPDump,以及与Wireshark一起安装的所有命令行工具。是会位于这里。所以,把这个添加到你的路径环境变量中,总是一个好主意。事实上,如果我把我的路径打印出来,你实际上可以在我这里看到,如果我在这里下来,它就在这里。所以C:/Program Files/Wireshark。

图片[7]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

这意味着我可以在我的命令提示符中的任何地方运行这些工具,无论我在哪里。好的,所以要做到这一点,一个简单的方法,有几个方法。你可以谷歌一下,找到你喜欢的方法。但一个简单的方法是,如果我跳到我的小搜索工具,如果我进入控制面板,

图片[8]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

我将进入我的系统设置,将进入高级系统设置

图片[9]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

然后我将进入环境变量部分。

图片[10]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

这里我将看到路径,好吗?

图片[11]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

所以我可以编辑,这是我可以添加的地方。所以我点击新建,让我们继续浏览。

图片[12]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

这是我可以新建的地方,这是我可以浏览的地方。这是我可以进来并找到我的Wireshark目录

图片[13]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

这将把这个路径添加到我的环境变量中,这样我就可以在我的命令提示符中的任何地方使用这些工具了。好的,这就是我如何在Windows 10环境中访问命令行工具。但在Mac上呢?

图片[14]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

现在,在Mac上,这些工具通常安装的实际位置,你可以看到它在这里,这个位置。

图片[15]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

它是Applications/Wireshark.app/Contents/MacOS所以我想做的是我也想把它添加到我的路径中。所以我要做的是我实际上要把这个放在下面的描述中,你可以看到这个,进入我的终端。我可以把这个作为一个临时添加到我的路径中。这将使我能够从这个终端的任何地方运行命令行工具。但只要我把终端关掉,那么我就必须每次都这样做。所以要把它作为一个永久的路径环境变量,我将继续前进并链接到另一篇文章,将告诉你如何在永久基础上做到这一点,如果你是在Mac系统上。所以现在我们知道如何实际访问命令行工具,让我们继续前进,忙着使用它们。所以我将继续前进并打开这里,我使用的是Mac系统。所以我将打开我的终端。

所以首先我要输入的是

dumpcap -h
图片[16]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

现在,好处是我们可以看到一些可用选项,这些选项可能也在Wireshark分析器中见过。所以这里我有”-i”,这是一个我想确保,我用来告诉系统我想从哪个接口捕捉。现在在这里我们也看到了snap length,这就是我们如何告诉系统我们想捕获多少帧。还有,我们有缓冲区大小,我们也有列表接口,几个不同的东西。所以基本上,让我们保持这个非常简单。所以我只是要重新开始,我要做的就是输入dumpcap。为了得到我的接口列表,我只是要做”-D”。

dumpcap -D
图片[17]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

这样做是为了列出我系统上的所有接口。所以,与其猜测用于这些接口的索引号,现在我可以真正看到哪个接口被分配了。所以在这里我可以看到en0,那是我的Wi-Fi接口。在下面,如果我有一个Thunderbolt接口连接到一个实际的物理电缆,在那里,我可能会使用接口号13,14,15。所以这将显示你所有的接口,你可以选择你想从哪一个捕获。所以对我来说,只是为了测试这个,我要做的是dumpcap”-I”,这是接口,我只是输入1,这是我的Wi-Fi接口。

图片[18]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

所以我只是点击回车,它显示我,好吧,Chris,你懂得,捕获的Wi-Fi en0,这是位置,只是一个临时文件夹,用来保存这些数据。好吧,所以我按下Ctrl C只是为了停止该捕获。现在我知道我已经得到了我想使用的正确接口。我想做的下一件事是告诉dumpcap在哪里保存数据。那个临时文件夹不是我想在我的系统中挖掘的东西。

图片[19]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

所以我想做的是,我只是要点击向上箭头。好的,所以dumpcap “-I”,第一个界面。现在我要做”-W”,所以要写。现在我想写哪里?我输入/users/Chris/data现在我有一个数据文件夹,我将它命名为 sample.pcapng。好了,现在我已经告诉了dumpcap,保存在这个界面上,并保存在这个位置。

图片[20]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

所以让我们继续,看看会发生什么。我只是要去点击它。如果我在这里调出我的查找器,这就是我可以看到我正在捕捉并且我正在保存到那个样本跟踪文件。现在,这将继续运行,并且样本跟踪文件将继续增长,直到我停止这个捕获。现在让我们假设我想利用一个环形缓冲区,但我想从命令行做。我们在上一课学到了关于环形缓冲区的知识。所以让我们继续下去,看看我们如何能做到,而不是在命令行上捕获一个大的数据包,我们如何将它分成小的部分?好的,所以我将继续前进并停止这个。现在这变得有点长,就实际的单一命令而言。所以要记住所有的开关是很困难的。这就是为什么不要害怕前进,回到dumpcap -h。在这里我们可以开始看到在系统中我们必须使用的一些选项。所以在我再次调出我的帮助后,现在我想看一下-b的开关。所以我有-b的环形缓冲器选项。

图片[21]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

所以这时我可以告诉系统,我想要多少个文件?每个文件的大小是多少?记住,这些文件大小的单位是千字节。好的,而且这些文件可以是若干个文件。好的,让我们继续,创建一个dumpcap环形缓冲区。好的,所以我按↑箭头直到我把我的旧命令带回来。所以-i,这是我的Wi-Fi接口。而在这里,我正在写到我的系统上的这个位置。但这次我想做的是我想输入-b。而我要输入的首先是文件大小(filesize)。好的,然后我将输入冒号(:)。我想在这里说的是,我希望这些跟踪文件有多大,以千字节为单位?

图片[22]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

所以,如果我只是把100,这意味着它将保存100千字节的PCAPs。所以那是相当小的,对吗?所以我可能想把它提高一点。如果我再加一个零,那就是一兆。再加一个零,那就是10兆了。再加一个零,那就是100兆了。好的,所以这将是100兆的PCAP。现在,在我们上周的课程中,我们谈到了使用500兆的PCAPs。哦,我输入了6个0让我把它退回去。有五个。所以就在那里,我就是这样告诉它的。我想要500兆字节的PCAPs。那我要多少个?我再用一个-b。而这一次我要输入的是文件(files)。那么,我想在我的环形缓冲区里有多少个?让我们先输入10个。所以这就是它要保存10个共500兆字节的文件。在第11个的时候,它会回来覆盖第一个,然后再覆盖第二个。

图片[23]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

所以我总共只会有10个。所以只是看看,这看起来不错。所以我就说好了。你会注意到,在我的数据文件夹的左边,这是我的第一个PCAP,正在启动。然后它就会收集数据。一旦它达到500,那么我就会看到第二号样本接时间和日期戳。然后我将看到样本三接时间日期戳。四号样本,以此类推。

图片[24]-Wireshark零基础入门 | 如何使用Dumpcap捕获流量 | 命令行技巧-FancyPig's blog

一旦我打到10,那么我就会看到11个,它将覆盖一号。所以请记住,如果你处在一个高吞吐量,高带宽的环境中,你可能想使用更大的PCAP,你可能想在你的环形缓冲区里有更多的数据,这样你就能确保跟上入口数据。所以这就是你在命令行上的捕获方式。现在,为什么我们要使用命令行而不是用户界面?好吧,有时候我们在命令行上更多一点,我们喜欢使用这种类型的工具用我们的包捕获带来这些数据。另外,Wireshark在用户界面上,它的捕获方式更重,对吗?所以它有很多事情要做。我们可能无法跟上更大的数据速率进入我们的系统与用户界面。因此,只是为了确保,这是将数据包收集到分析器中最原始的方法。所以我希望这对你来说是一个有用的提示。感谢您参加Wireshark大师课程第3课,我们下期视频再见

© 版权声明
THE END
喜欢就支持一下吧
点赞13赞赏 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容