networking - WireShark轻量级抓包，能做到吗？

Question

通常，当我使用 WireShark 时，我真的不需要捕获帧的内容。我基本上只是确保一些流量正在流动，并且可能检查一些标志(FIN ACK 等)。然而，默认设置是捕获(过滤的)NIC 看到的所有内容，这可以很快填满我的 HD。

是否有一个设置，您可以只看到摘要行，而不捕获内容？

Answer 1

I don't really need to capture the contents of a frame ... I'm essentially just making sure that some traffic is flowing, and maybe checking a few flags (FIN ACK etc)

因此，您只需要 TCP header (以及 TCP header 之前的所有数据包数据)。典型的 IPv4 报头与典型的 TCP 报头一样长 20 个字节，因此，在以太网上，您通常只需要捕获数据包的前 54 个字节。对于 IPv6，典型的 header 长度为 40 个字节，因此，在以太网上，您通常只需要前 74 个字节。但是，IPv4 和 TCP header 可能有选项，而 IPv6 header 可能有扩展 header ，因此为 IPv4 捕获 68 个字节或为 IPv4 或 IPv6 捕获 96 个字节可能会更好

对于其他网络，您必须根据链路层 header 长度调整该值。对于不处于监控模式的 802.11，您可能会得到“假以太网” header ，因此用于以太网的值将起作用；对于处于监视模式的 802.11，您可能有一个“radiotap” header 或其他一些“ radio 元数据” header ，因此您必须查看您机器上的一些捕获，以了解 802.11 header + radio 元数据 header 有多大.

一旦您知道应该使用的“快照长度”，您可以在 Wireshark 1.8 及更高版本的接口(interface)选项的“将每个数据包限制为 [...] 字节”字段中指定它，或者在之前的“捕获选项”对话框中指定它1.8.

Wireshark 仍然会在捕获的数据包数据有限的情况下显示它可以显示哪些数据包详细信息，因此您不会只看到摘要行。但是，每个数据包获得的数据会更少，从而节省磁盘空间。