04-数据包捕获技术详解

Wireshark数据包捕获与分析实战 第 4 篇：数据包捕获技术详解

摘要

本文将带你深入掌握Wireshark的高级捕获技术，学会在各种网络环境中高效捕获目标流量。你将学到捕获过滤器的高级用法、显示过滤器的实战技巧、环形缓冲区配置、远程捕获方法、无线网络捕获技术，以及捕获文件管理的最佳实践。

学习目标

阅读完本文后，你将能够：

• 编写复杂捕获过滤器：使用BPF语法精确控制捕获的数据
• 精通显示过滤器：灵活筛选和分析已捕获的数据包
• 配置长期捕获：使用环形缓冲区进行无人值守的长时间捕获
• 执行远程捕获：捕获远程网络设备的流量
• 捕获无线流量：掌握无线网络监听模式捕获技术
• 管理捕获文件：高效组织和维护大量捕获文件

---

本文由”51学通信”（公众号：51学通信，站长：爱卫生）原创分享。如需深入交流或获取更多通信技术资料，欢迎添加微信：gprshome201101。

---

一、捕获过滤器高级用法

1.1 BPF语法深入

捕获过滤器使用BPF（Berkeley Packet Filter）语法，这是一种强大的过滤语言，能在数据包到达用户空间之前就进行筛选，大幅提高捕获效率。

基本语法结构

BPF过滤表达式由一个或多个原语（primitive）组成，原语可以通过逻辑运算符组合：

[not] primitive [and|or] [not] primitive ...

原语类型

1. 类型原语：指定协议类型

   • host：主机
   • net：网络
   • port：端口
   • portrange：端口范围

2. 方向原语：指定传输方向

   • src：源
   • dst：目的
   • src or dst：源或目的
   • src and dst：源和目的（即双向）

3. 协议原语：指定协议类型

   • ether：以太网
   • ip、ip6：IP协议
   • tcp、udp：传输层协议
   • arp、rarp：ARP协议
   • icmp、icmp6：ICMP协议

基本示例

# 捕获特定主机的流量
host 192.168.1.100

# 捕获特定网络的流量
net 192.168.1.0/24

# 捕获特定端口的流量
port 80

# 捕获端口范围的流量
portrange 8000-9000

# 捕获源IP为特定地址的流量
src host 10.0.0.1

# 捕获目的端口为443的流量
dst port 443

# 捕获TCP流量
tcp

# 捕获特定主机和端口的组合
host 192.168.1.100 and port 80

1.2 高级过滤技巧

按MAC地址过滤

# 捕获特定源MAC地址的流量
ether src 00:11:22:33:44:55

# 捕获特定目的MAC地址的流量
ether dst 00:11:22:33:44:55

# 捕获广播或多播流量
ether broadcast or ether multicast

# 捕获非特定MAC地址的流量
not ether host 00:11:22:33:44:55

按以太网类型过滤

# 捕获IPv4流量
ether proto 0x0800

# 捕获IPv6流量
ether proto 0x86DD

# 捕获ARP流量
ether proto 0x0806

# 捕获VLAN tagged流量
ether proto 0x8100

按IP协议字段过滤

# 捕获特定TTL值的包
ip[8] == 64

# 捕获TTL小于10的包
ip[8] < 10

# 捕获设置了DF位的包（不分片）
ip[6] & 0x4000 != 0

# 捕获分片的包
ip[6] & 0x3fff != 0

# 捕获特定长度的IP包
ip[2:2] > 1000

这里使用了字节偏移语法。ip[8]是IP头部的第9个字节（从0开始计数），即TTL字段。ip[2:2]表示从第3个字节开始，取2个字节，即总长度字段。

按TCP标志位过滤

# 只捕获SYN包（TCP连接请求）
tcp[tcpflags] & tcp-syn != 0

# 只捕获SYN-ACK包
tcp[tcpflags] & (tcp-syn|tcp-ack) == tcp-syn|tcp-ack

# 只捕获FIN包（连接终止）
tcp[tcpflags] & tcp-fin != 0

# 只捕获RST包（连接重置）
tcp[tcpflags] & tcp-rst != 0

# 只捕获PSH包（推送数据）
tcp[tcpflags] & tcp-psh != 0

# 捕获纯SYN包（不是SYN-ACK）
'tcp[tcpflags] & (tcp-syn|tcp-ack) == tcp-syn'

按TCP序列号范围过滤

# 捕获序列号小于N的包
tcp.seq <= 10000

# 捕获特定确认号的包
tcp.ack == 12345

按HTTP内容过滤

# 捕获包含特定字符串的HTTP请求
port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420

# 捕获GET请求（0x47455420是"GET "的十六进制）
# 捕获POST请求
port 80 and tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354

# 更简单的方法：使用显示过滤器，不用捕获过滤器

1.3 常见捕获场景

场景1：只捕获Web流量

# HTTP和HTTPS
tcp port 80 or tcp port 443

# 或更精确地
(tcp port 80) or (tcp port 443)

# 排除本地回环
not net 127.0.0.0/8

场景2：捕获特定服务器的流量

# 按IP地址
host 192.168.1.100

# 按域名（需要先解析为IP）
host www.example.com

# 按IP和端口组合
host 192.168.1.100 and (port 80 or port 443)

场景3：排除特定流量

# 排除SSH流量
not port 22

# 排除本地网络的广播
not broadcast

# 排除ARP
not arp

# 捕获非本地流量
not net 192.168.0.0/16 and not net 10.0.0.0/8

场景4：捕获特定TCP连接

# 按IP和端口组合
src host 192.168.1.100 and src port 12345 and dst host 192.168.1.200 and dst port 80

# 或简化为
host 192.168.1.100 and host 192.168.1.200 and port 12345 and port 80

场景5：捕获ICMP消息

# 所有ICMP
icmp

# 只捕获ping请求/响应
icmp[icmptype] == icmp-echo or icmp[icmptype] == icmp-echoreply

# 只捕获目的不可达
icmp[icmptype] == icmp-unreach

# 只捕获超时
icmp[icmptype] == icmp-timxceed

flowchart TD
    A[编写捕获过滤器] --> B{确定捕获目标}
    B --> C[特定主机]
    B --> D[特定协议]
    B --> E[特定端口]
    B --> F[组合条件]

    C --> C1[host 192.168.1.100]
    D --> D1[tcp, udp, icmp]
    E --> E1[port 80, portrange 1000-2000]
    F --> F1[host 192.168.1.100 and port 80]

    C1 --> G[应用过滤器]
    D1 --> G
    E1 --> G
    F1 --> G

    G --> H{是否需要排除?}
    H --> I[添加not条件]
    H --> J[完成]

    I --> J

图表讲解：

这张流程图展示了编写捕获过滤器的思维过程。51学通信建议：在开始捕获前，先想清楚要捕获什么、排除什么，然后逐步构建过滤条件。

第一步是确定捕获目标。是要看某个特定主机的所有流量？还是某种特定协议？或者某个特定端口？不同的目标需要不同的过滤表达式。

第二步是选择合适的原语。对于主机，使用host；对于网络段，使用net；对于端口，使用port或portrange；对于协议，直接使用协议名（如tcp、udp、icmp）。

第三步是组合条件。使用and、or、not逻辑运算符组合多个原语。注意运算符优先级，not优先级最高，其次是and，最后是or。不确定时使用括号明确优先级。

第四步是考虑是否需要排除某些流量。例如，通常不需要捕获SSH管理流量（端口22），因为这会产生大量与问题无关的包。使用not排除这些流量可以减小捕获文件大小。

最后一步是验证过滤器。Wireshark提供了过滤器表达式构建器，可以图形化地构建和测试过滤器。在开始长时间捕获前，建议先用小流量测试过滤器是否正确。

---

二、显示过滤器实战技巧

2.1 显示过滤器语法

显示过滤器与捕获过滤器语法不同，功能更强大。显示过滤器在已捕获的数据上应用，可以随时修改，不会丢失数据。

基本语法

显示过滤器的基本格式是：协议.字段 比较操作符 值

# IP地址比较
ip.addr == 192.168.1.100
ip.src == 192.168.1.100
ip.dst == 192.168.1.100

# 端口比较
tcp.port == 80
tcp.srcport == 12345
tcp.dstport == 443

# 协议存在
tcp
udp
http
dns

# 字符串匹配
http.host == "www.example.com"
http.request.uri contains "search"

比较操作符

操作符	说明	示例
==	等于	ip.addr == 10.0.0.1
!=	不等于	tcp.port != 80
>	大于	frame.len > 1000
<	小于	frame.len < 100
>=	大于等于	tcp.len >= 500
⇐	小于等于	tcp.len <= 500
contains	包含	http contains "GET"
matches	正则匹配	http.request.uri matches "\\.php$"
in	在集合中	tcp.port in {80,443,8080}

逻辑操作符

操作符	说明	示例
and	逻辑与	ip.addr == 10.0.0.1 and tcp.port == 80
or	逻辑或	tcp.port == 80 or tcp.port == 443
not	逻辑非	not icmp
xor	逻辑异或	tcp.flags.syn == 1 xor tcp.flags.ack == 1

2.2 高级显示过滤

按时间过滤

# 显示特定时间后的包
frame.time > "2024-03-08 10:00:00"

# 显示特定时间范围内的包
frame.time >= "2024-03-08 10:00:00" and frame.time <= "2024-03-08 11:00:00"

# 显示相对时间偏移内的包
frame.time_delta < 0.1  # 与前一个包的时间间隔小于0.1秒

按包长度过滤

# 显示大包
frame.len > 1400

# 显示小包
frame.len < 100

# 显示特定长度的包
frame.len == 1500

按TCP标志位过滤

# 显示SYN包
tcp.flags.syn == 1

# 显示纯SYN包（不是SYN-ACK）
tcp.flags.syn == 1 and not tcp.flags.ack == 1

# 显示RST包
tcp.flags.reset == 1

# 显示FIN包
tcp.flags.fin == 1

# 显示PSH包
tcp.flags.push == 1

# 组合标志位
tcp.flags.syn == 1 and tcp.flags.ack == 1  # SYN-ACK

按TCP问题过滤

# 显示重传包
tcp.analysis.retransmission

# 显示乱序包
tcp.analysis.out_of_order

# 显示丢失的包
tcp.analysis.lost_segment

# 显示ACK丢失
tcp.analysis.ack_lost_segment

# 显示窗口满
tcp.analysis.window_full

# 所有TCP问题
tcp.analysis.flags

按HTTP字段过滤

# 显示HTTP请求
http.request

# 显示HTTP响应
http.response

# 显示特定状态码
http.response.code == 404
http.response.code >= 400

# 显示特定请求方法
http.request.method == "GET"
http.request.method == "POST"

# 显示特定主机
http.host == "www.example.com"

# 显示包含特定URI的请求
http.request.uri contains "login"

# 显示特定User-Agent
http.user_agent contains "Chrome"

# 显示包含特定响应头的响应
http.response contains "Content-Type: application/json"

按DNS过滤

# 显示DNS查询
dns.qry.name == "www.example.com"

# 显示DNS响应
dns.flags.response == 1

# 显示特定响应码
dns.flags.rcode == 3  # NXDOMAIN

# 显示特定查询类型
dns.qry.type == 1    # A记录
dns.qry.type == 28   # AAAA记录

# 显示DNS问题
dns.qry.name contains "malware"

按TLS过滤

# 显示TLS握手
tls.handshake.type == 1  # ClientHello
tls.handshake.type == 2  # ServerHello

# 显示特定TLS版本
tls.handshake.version == "0x0304"  # TLS 1.3

# 显示特定加密套件
tls.handshake.ciphersuite == "0x1301"  # TLS_AES_128_GCM_SHA256

# 显示TLS证书
tls.handshake.extensions.server_name

2.3 显示过滤实战场景

场景1：分析慢速连接

# 查找TCP重传
tcp.analysis.retransmission

# 查找零窗口
tcp.window_size_value == 0

# 查找窗口缩放问题
tcp.options.window_scale

# 组合过滤
tcp.analysis.retransmission or tcp.window_size_value == 0 or tcp.analysis.zero_window_probe

场景2：分析HTTP性能

# 显示所有HTTP请求
http.request

# 显示特定请求的响应时间
http.time > 1.0

# 显示大响应
http.content_length > 100000

# 显示错误响应
http.response.code >= 400

# 显示没有缓存的响应
http.response.code == 200 and not http.cache_control

场景3：分析DNS问题

# 显示DNS查询超时
dns.qry.name and not dns.flags.response

# 显示DNS错误响应
dns.flags.rcode != 0

# 显示特定域名的所有查询和响应
dns.qry.name contains "example.com" or dns.resp.name contains "example.com"

# 显示慢速DNS响应
dns.time > 0.5

场景4：安全分析

# 显示可疑端口连接
tcp.port > 1024 and tcp.port < 49152

# 显示非标准协议端口
not tcp.port in {22,23,80,443,3389}

# 显示ICMP不可达
icmp.type == 3

# 显示端口扫描
tcp.flags.syn == 1 and not tcp.flags.ack == 1

# 显示ARP异常
arp.duplicate-address-detected or arp.duplicate-address-request

---

三、环形缓冲区配置

3.1 为什么需要环形缓冲区

长期网络监控会产生大量数据，如果不加控制，会占满磁盘空间。环形缓冲区（Ring Buffer）是一种自动管理磁盘空间的机制，当文件达到指定大小时，自动创建新文件或覆盖旧文件。

51学通信站长爱卫生分享过一个真实案例：某公司需要监控生产网络的流量，但磁盘空间有限。使用环形缓冲区配置为保留最近10个文件，每个文件最大100MB。这样既能保留最近的流量用于分析，又不会占满磁盘。

环形缓冲区有三种工作模式：

1. 多文件模式：创建多个文件，文件数达到上限后停止捕获
2. 环形覆盖模式：创建N个文件，第N+1个文件覆盖第1个文件
3. 时间限制模式：每个文件捕获指定时间后切换

3.2 配置环形缓冲区

在Wireshark的捕获选项中，可以配置环形缓冲区参数。

多文件模式配置

保存到多个文件：勾选
每个文件的最大大小：例如100 MB
每个文件的最大包数：例如100000包
创建文件的最大数：例如10个文件
环形缓冲：不勾选

这种模式下，Wireshark会创建最多10个文件，每个文件最大100MB。达到10个文件后，捕获自动停止。

环形覆盖模式配置

保存到多个文件：勾选
每个文件的最大大小：例如100 MB
创建文件的最大数：例如10个文件
环形缓冲：勾选

这种模式下，Wireshark会创建最多10个文件，第11个文件会覆盖第1个文件。这样磁盘上永远只有最近的10个文件。

时间限制模式配置

保存到多个文件：勾选
每N个包切换文件：例如每100000个包
或
每N秒切换文件：例如每3600秒（1小时）
创建文件的最大数：例如24个文件（1天）
环形缓冲：根据需要勾选

这种模式下，每个文件捕获固定时间或固定数量的包，适合时间序列分析。

文件命名模板

可以使用变量自定义文件名：

• %c：捕获注释
• %Y：年（4位）
• %m：月（2位）
• %d：日（2位）
• %H：小时（2位）
• %M：分钟（2位）
• %S：秒（2位）
• %a：星期几（缩写）
• %A：星期几（完整）
• %b：月份（缩写）
• %B：月份（完整）

示例：

capture_%Y%m%d_%H%M%S.pcapng

生成的文件名如：capture_20240308_143022.pcapng

3.3 命令行环形缓冲区

使用dumpcap（Wireshark的命令行捕获工具）可以实现更灵活的环形缓冲区配置。

基本语法

dumpcap -i eth0 -b filesize:100000 -b files:10 -w capture.pcapng

参数说明：

• -i eth0：指定网络接口
• -b filesize:100000：每个文件最大100KB
• -b files:10：最多保留10个文件
• -w capture.pcapng：文件名模板

时间限制

# 每小时创建新文件
dumpcap -i eth0 -b duration:3600 -b files:24 -w hourly_capture.pcapng
 
# 每1000个包创建新文件
dumpcap -i eth0 -b packets:1000 -b files:100 -w packet_capture.pcapng

组合条件

# 文件大小100MB或1小时，先到为准
dumpcap -i eth0 -b filesize:100000 -b duration:3600 -b files:10 -w capture.pcapng
 
# 环形缓冲，覆盖旧文件
dumpcap -i eth0 -b filesize:100000 -b files:10 -a -w capture.pcapng

-a参数表示启用环形缓冲，新文件覆盖旧文件。

综合示例

# 24小时循环捕获，每小时一个文件，保留24小时
dumpcap -i eth0 \
  -b duration:3600 \
  -b files:24 \
  -w /data/capture/capture_%Y%m%d_%H%M%S.pcapng \
  -f "not port 22" \
  -g

参数说明：

• -b duration:3600：每小时切换文件
• -b files:24：保留24个文件
• -w：带时间戳的文件名
• -f "not port 22"：捕获过滤器，排除SSH
• -g：启用组读权限

flowchart LR
    A[开始捕获] --> B[创建文件1]
    B --> C{达到切换条件?}
    C -->|否| D[继续捕获]
    D --> C
    C -->|是| E{文件数达到上限?}
    E -->|否| F[创建新文件]
    F --> C
    E -->|是| G{环形缓冲模式?}
    G -->|否| H[停止捕获]
    G -->|是| I[覆盖最旧文件]
    I --> C

图表讲解：

这张流程图展示了环形缓冲区的工作逻辑。理解这个逻辑有助于正确配置捕获参数。

捕获开始后，Wireshark创建第一个文件并写入数据。持续检查是否达到切换条件（文件大小、包数量、或时间限制）。

如果达到切换条件，检查已创建的文件数是否达到上限。如果未达到上限，创建新文件继续捕获。

如果文件数达到上限，根据是否启用环形缓冲采取不同行动。如果未启用环形缓冲，停止捕获；如果启用了环形缓冲，覆盖最旧的文件，继续捕获。

这样，磁盘上的文件数量永远不会超过配置的上限，适合长期无人值守的捕获。

---

四、远程捕获技术

4.1 为什么需要远程捕获

在很多情况下，需要在远程设备上捕获流量：

• 远程服务器没有图形界面
• 设备在数据中心，物理访问困难
• 需要捕获多台设备的流量
• 需要集中管理多个捕获点

远程捕获有几种技术方案：

1. SSH远程运行Wireshark/TShark
2. rpcapd远程捕获协议
3. 端口镜像+流量转发
4. 远程桌面/VNC运行Wireshark

4.2 SSH远程捕获

SSH是最常用的远程捕获方法，适用于Linux/Unix服务器。

TShark远程捕获

# 基本语法
ssh user@remote "tshark -i eth0 -w -" > capture.pcapng
 
# 使用捕获过滤器
ssh user@remote "tshark -i eth0 -f 'port 80' -w -" > capture.pcapng
 
# 限制捕获时间
ssh user@remote "timeout 60 tshark -i eth0 -w -" > capture.pcapng
 
# 限制捕获包数
ssh user@remote "tshark -i eth0 -c 1000 -w -" > capture.pcapng

tcpdump远程捕获

# 基本语法
ssh user@remote "tcpdump -i eth0 -w -" > capture.pcapng
 
# 使用捕获过滤器
ssh user@remote "tcpdump -i eth0 -p port 80 -w -" > capture.pcapng
 
# 限制捕获大小
ssh user@remote "tcpdump -i eth0 -c 1000 -w -" > capture.pcapng
 
# 压缩传输
ssh user@remote "tcpdump -i eth0 -w - | gzip" | gunzip > capture.pcapng

后台捕获

# 在远程服务器上启动后台捕获
ssh user@remote "nohup tcpdump -i eth0 -w /tmp/capture.pcapng &"
 
# 查看捕获进度
ssh user@remote "tcpdump -r /tmp/capture.pcapng | wc -l"
 
# 下载捕获文件
scp user@remote:/tmp/capture.pcapng ./

4.3 rpcapd远程捕获

rpcapd是Wireshark的远程捕获协议，允许Wireshark连接到远程的rpcapd服务进行捕获。

启动rpcapd服务器

在远程Linux服务器上：

# 安装rpcapd
sudo apt install rpcapd
 
# 启动rpcapd
sudo rpcapd -n -i eth0
 
# 或指定端口
sudo rpcapd -p 2002 -n -i eth0

参数说明：

• -n：不使用认证（生产环境应配置认证）
• -i eth0：监听eth0接口
• -p 2002：监听端口2002

在Wireshark中连接

1. 打开捕获选项
2. 点击”Manage Interfaces”
3. 点击”+“添加远程接口
4. 输入远程主机IP和端口（默认2002）
5. 选择远程接口开始捕获

rpcapd认证配置

# 创建认证文件
sudo vim /etc/rpcapd/rpcapd.auth
 
# 文件内容：
# username:password NULL
# admin:secretpass NULL
 
# 重启rpcapd
sudo rpcapd -a /etc/rpcapd/rpcapd.auth -p 2002

4.4 流量转发捕获

对于无法安装软件的设备，可以通过端口镜像（Port Mirroring）将流量转发到有Wireshark的设备。

基本配置

[交换机A]
端口1 → 服务器
端口2 → 端口镜像到端口3
端口3 → Wireshark电脑

在交换机上配置端口镜像（SPAN），将服务器端口的流量复制到Wireshark电脑连接的端口。

VLAN环境

对于VLAN环境，需要配置RSPAN（Remote SPAN）或ERSPAN（Encapsulated RSPAN）：

[交换机A]VLAN10 → [交换机B] → [Wireshark]

RSPAN将镜像流量通过VLAN传输到远程交换机，再从远程交换机复制到Wireshark。

4.5 远程捕获注意事项

网络带宽

远程捕获会产生大量流量，尤其是通过SSH传输原始数据包时。考虑：

• 使用捕获过滤器减少数据量
• 压缩传输（SSH的-C选项或pipe到gzip）
• 在远程主机保存文件，之后下载

时区同步

确保本地和远程主机的时区一致，否则时间戳会混乱：

# 同步时间
sudo ntpdate pool.ntp.org

权限问题

远程捕获需要root权限，确保：

• 用户有sudo权限
• 或将用户添加到wireshark组

存储空间

远程主机需要有足够的磁盘空间。监控磁盘使用：

# 检查磁盘空间
df -h
 
# 限制捕获大小
tcpdump -i eth0 -c 100000 -w /tmp/capture.pcapng

51学通信建议：对于长期远程监控，建议在远程主机上使用环形缓冲区配置，定期下载文件到本地进行分析。这样可以减少网络传输，避免影响捕获性能。

---

五、无线网络捕获

5.1 无线捕获的特殊性

无线网络捕获与有线网络有本质区别：

• 无线信号广播，网卡需要监听模式才能捕获所有帧
• 加密流量（WPA/WPA2）需要密钥才能解密
• 无线环境复杂，干扰多，信号质量影响捕获
• 不同频段（2.4GHz/5GHz）需要不同配置

5.2 监听模式配置

Windows平台

Windows上的无线捕获比较复杂，需要特殊驱动：

1. 使用支持监听模式的无线网卡
2. 安装Npcap时勾选”Support raw 802.11 traffic”
3. 在Wireshark捕获选项中勾选”Monitor Mode”

Linux平台

# 查看无线接口
iwconfig
 
# 启用监听模式
sudo airmon-ng start wlan0
 
# 或使用iw工具
sudo iw dev wlan0 set type monitor
 
# 捕获
sudo iw dev wlan0 interface add mon0 type monitor
sudo tshark -i mon0 -w capture.pcapng
 
# 退出监听模式
sudo airmon-ng stop wlan0
sudo iw dev mon0 del

macOS平台

# macOS不支持Wi-Fi监听模式
# 需要使用外部适配器或iOS设备

5.3 无线帧类型

802.11定义了三种帧类型：

帧类型	子类型	用途
管理帧	Beacon	AP广播存在
	Probe Request/Response	设备扫描
	Authentication/Association	连接建立
	Deauthentication/Disassociation	连接终止
控制帧	RTS/CTS	信道预留
	ACK	确认
数据帧	Data	数据传输
	Null	空功能帧

在Wireshark中过滤无线帧：

# 只显示管理帧
wlan.fc.type == 0

# 只显示Beacon帧
wlan.fc.subtype == 8

# 只显示数据帧
wlan.fc.type == 2

# 只显示特定BSSID的流量
wlan.bssid == 00:11:22:33:44:55

5.4 无线加密流量解密

WEP/WPA密钥配置

在Wireshark的IEEE 802.11协议设置中，可以添加解密密钥：

1. Edit → Preferences → Protocols → IEEE 802.11
2. 点击”Decryption Keys”
3. 添加密钥（WEP密钥或WPA-PSK）

WPA握手捕获

WPA解密需要4次握手包。捕获时注意：

1. 使用过滤器wlan.fc.subtype == 11或wlan.fc.type_subtype == 0x0b过滤EAPOL帧
2. 确保捕获到完整的4次握手
3. 如果使用WPA3，捕获不同的握手流程

51学通信提示：无线捕获需要在合法授权的情况下进行。未经授权捕获他人的无线流量是违法行为。只应在自己的网络或经授权的测试环境中使用这些技术。

---

六、捕获文件管理最佳实践

6.1 文件命名规范

良好的文件命名规范便于后续查找和管理：

推荐的命名格式

[日期]_[时间]_[位置]_[问题]_[文件编号].pcapng

示例：

20240308_143022_office1_web_slow_01.pcapng
20240308_150345_dc_server_ssh_fail_01.pcapng

使用元数据

pcapng格式支持注释，可以为捕获文件添加说明：

1. 打开捕获文件
2. Capture → Capture File Properties
3. 添加注释说明捕获的目的、环境、发现的问题

6.2 文件组织结构

建议按以下结构组织捕获文件：

/data/captures/
├── 2024/
│   ├── 03/
│   │   ├── 08/
│   │   │   ├── office1/
│   │   │   │   ├── web_slow/
│   │   │   │   │   ├── capture_01.pcapng
│   │   │   │   │   ├── capture_01.txt
│   │   │   │   │   └── analysis.md
│   │   │   │   └── ssh_fail/
│   │   │   └── office2/
│   │   └── 09/

配套文件：

• .txt文件：捕获命令和配置
• .md文件：分析笔记和发现
• .png文件：截图证据

6.3 文件压缩与归档

压缩策略

pcapng文件压缩比取决于内容：

• 文本协议（HTTP）：压缩比50-70%
• 二进制协议（视频）：压缩比10-30%

使用gzip或7z压缩：

# 压缩单个文件
gzip capture.pcapng
 
# 压缩整个目录
tar -czf captures_20240308.tar.gz captures/
 
# 使用7z（更高压缩比）
7z a -t7z captures.7z captures/

归档策略

建议的归档周期：

• 在线保留：最近3个月
• 离线归档：3-12个月
• 长期存储：重要案例永久保存

归档前检查：

• 删除无关的捕获文件
• 合并相关的文件
• 添加必要的注释和说明
• 验证文件完整性

6.4 文件匿名化

如果需要共享捕获文件，注意删除敏感信息：

需要匿名化的内容

• IP地址（内网和公网）
• MAC地址
• 主机名和域名
• 用户名和密码
• 文件内容和URL

匿名化工具

# 使用tcprewrite匿名化
tcprewrite --enet-smac=00:11:22:33:44:55 \
           --enet-dmac=00:11:22:33:44:56 \
           --srcipmap=192.168.1.0/24:10.0.0.0/24 \
           --dstipmap=192.168.1.0/24:10.0.0.0/24 \
           -i input.pcapng -o output.pcapng
 
# 使用Wireshark的editcap
editcap -d 100 input.pcapng output.pcapng  # 删除重复包

51学通信提醒：匿名化不能保证完全去除敏感信息。对于安全相关的捕获文件，建议不共享或只在受控环境中共享。

---

七、核心概念总结

概念名称	定义	应用场景	注意事项
BPF语法	捕获过滤器的表达语言	控制捕获的数据量	与显示过滤器语法不同
捕获过滤器	捕获时应用的过滤条件	减少磁盘占用	不符合条件的包永久丢失
显示过滤器	显示时应用的过滤条件	分析已捕获数据	可随时修改
环形缓冲	自动管理磁盘空间的机制	长期无人值守捕获	有多文件和覆盖两种模式
远程捕获	在远程设备上捕获流量	服务器端问题诊断	注意带宽和权限
监听模式	无线网卡捕获所有帧	无线网络分析	需要网卡和驱动支持
rpcapd	Wireshark远程捕获协议	跨设备捕获	需要配置认证
端口镜像	交换机复制流量的功能	透明监控	需要交换机支持
文件匿名化	删除捕获文件中的敏感信息	共享文件前	不保证完全匿名
压缩归档	减少文件存储空间	长期存储	压缩比取决于内容

---

常见问题解答

Q1：捕获过滤器和显示过滤器有什么区别，应该如何选择？

答：捕获过滤器和显示过滤器是Wireshark的两种不同的过滤机制，作用时机、语法和效果都有明显区别。理解它们的区别，能让你在不同场景下选择正确的工具。

捕获过滤器在捕获数据包时应用，由底层的捕获库（如Npcap、libpcap）执行。只有符合捕获过滤器的数据包才会被保存到磁盘或内存中。这意味着不符合条件的包被永久丢弃，无法事后恢复。捕获过滤器的语法基于BPF，相对简单，功能有限。因为过滤在内核空间完成，所以效率很高，不会浪费磁盘空间和CPU资源。

显示过滤器在已捕获的数据包上应用，由Wireshark用户空间执行。所有捕获的包都被保留，只是显示时筛选出符合条件的包。显示过滤器的语法更强大，支持协议字段的复杂条件。因为过滤在用户空间完成，需要先捕获所有数据，所以对资源的消耗更大。但好处是随时可以修改过滤器，不会丢失数据。

选择建议是：如果明确知道只需要捕获特定流量，且数据量可能很大，使用捕获过滤器。例如，在高速网络上捕获HTTP流量，使用tcp port 80作为捕获过滤器，可以避免保存大量无关流量。如果不确定需要什么，或事后需要不同角度分析，使用显示过滤器。捕获所有流量，事后用显示过滤器灵活筛选。

一个实用技巧是组合使用：先使用宽松的捕获过滤器减少总体数据量，再用显示过滤器精确筛选。例如，捕获过滤器host 192.168.1.100捕获特定主机的所有流量，显示过滤器http筛选出其中的HTTP流量。

Q2：如何捕获加密流量（如HTTPS）的明文内容？

答：捕获HTTPS流量并查看明文内容是一个常见需求，但需要特定的配置和条件。HTTPS使用TLS加密传输层，默认情况下Wireshark只能看到加密后的密文。

第一种方法是配置TLS密钥。对于使用RSA密钥交换的TLS连接（主要是TLS 1.2及之前），如果你有服务器的私钥，可以在Wireshark中配置私钥来解密流量。配置路径是Edit → Preferences → Protocols → TLS → RSA keys list，添加私钥文件和对应的IP地址、端口。这种方法有局限性：不适用于Diffie-Hellman密钥交换（包括DHE、ECDHE），且TLS 1.3默认使用ECDHE，即使有私钥也无法解密被动捕获的流量。

第二种方法是使用密钥日志。现代浏览器（Firefox、Chrome）支持将TLS会话密钥导出到文件。设置环境变量SSLKEYLOGFILE=/path/to/keylog.txt，浏览器会自动将密钥写入该文件。在Wireshark的TLS设置中指定这个密钥日志文件（Pre-Master-Secret log filename），Wireshark可以用密钥解密流量。这种方法适用于TLS 1.3，但需要控制客户端，且可能影响浏览器性能。

第三种方法是使用中间人代理。工具如Burp Suite、mitmproxy可以作为代理，解密HTTPS流量后再重新加密发送给服务器。Wireshark捕获代理后的流量，可以看到明文。需要在客户端配置代理，或通过代理服务器转发流量。这种方法会改变流量路径，可能影响应用行为。

51学通信站长爱卫生强调：在生产环境中解密HTTPS需要谨慎考虑安全风险和法律合规性。大多数情况下，分析加密流量的元数据（连接建立时间、数据包大小、时序）就足以诊断网络层面的问题。如果确实需要查看明文，应该在测试环境中重现问题，或获得明确的授权。

Q3：如何在交换机网络环境中捕获其他设备的流量？

答：在交换机网络中，每个端口只接收发往该端口（单播）或所有端口（广播/组播）的帧。要捕获其他设备的流量，需要特殊的配置或设备。

第一种方法是端口镜像（Port Mirroring），也称为SPAN（Switched Port Analyzer）。这是最常用的方法，在交换机上配置，将一个或多个源端口的流量复制到目的端口。Wireshark连接到目的端口，就能捕获源端口的流量。配置命令因交换机品牌而异：

• Cisco：monitor session 1 source interface Gi0/1 both，monitor session 1 destination interface Gi0/2
• 华为：mirroring-group 1 local，mirroring-group 1 mirroring-port GigabitEthernet0/0/1，mirroring-group 1 monitor-port GigabitEthernet0/0/2

第二种方法是使用TAP（Test Access Point）设备。TAP是物理层设备，永久安装在链路中，被动复制所有流量。TAP的优点是不影响网络性能，不依赖交换机功能；缺点是需要额外购买设备，且需要物理接入链路。TAP常用于关键链路的长期监控。

第三种方法是ARP欺骗。通过发送伪造的ARP响应，让目标设备将流量发送到你的机器。这种方法在技术上可行，但有很多问题：会导致网络中断（流量不转发）、违反安全政策、可能触发安全告警。51学通信不建议使用ARP欺骗，除非在授权的渗透测试环境中。

第四种方法是使用集线器。集线器（Hub）是旧的联网设备，将所有输入流量广播到所有端口。如果网络环境允许，可以将设备连接到集线器，再连接到交换机。这样所有设备的流量都会广播，可以捕获。但集线器已经被淘汰，且共享带宽、效率低下，不适合现代网络。

Q4：环形缓冲区配置中，文件大小和文件数量如何设置？

答：环形缓冲区的文件大小和文件数量设置需要在磁盘空间限制和分析需求之间平衡。设置太大可能占满磁盘，设置太小可能丢失需要的流量。

文件大小的设置取决于捕获的流量速率和期望的单文件时长。假设网络平均流量为10Mbps，期望每个文件捕获1小时，计算如下：10Mbps × 3600秒 = 36Gb = 4.5GB。但实际捕获的文件大小会小于理论值，因为：

• 网络不是持续满载
• 捕获过滤器减少流量
• Wireshark有一些开销

经验值是：

• 低流量环境（几个Mbps）：文件大小100-500MB
• 中等流量（几十Mbps）：文件大小500MB-2GB
• 高流量（百Mbps以上）：文件大小2-10GB

文件数量的设置取决于磁盘空间和分析需求。假设磁盘可用100GB，每个文件1GB，可以保留100个文件。但实际设置应该考虑：

• 需要回溯多长时间的历史（如24小时、7天）
• 磁盘用于其他用途的空间
• 文件管理的复杂度（更多文件意味着更难管理）

经验值是：

• 短期监控（几小时）：文件数量10-50
• 中期监控（1-7天）：文件数量100-500
• 长期监控（周级以上）：文件数量500+

更实用的方法是按时间计算。如果需要保留24小时的历史，每小时切换一个文件，需要24个文件。如果需要保留7天，每天切换一个文件，需要7个文件。

51学通信建议：开始时使用保守的设置（较小的文件大小和较少的文件数量），观察实际运行情况后调整。可以使用监控脚本（如df -h）检查磁盘使用，在达到阈值时发送告警。

Q5：在远程服务器上捕获时，如何避免SSH连接本身产生的流量干扰？

答：在远程服务器上通过SSH执行捕获时，SSH连接本身会产生流量，这些流量也会被捕获，干扰分析。有几种方法可以避免或减少这种干扰。

第一种方法是使用捕获过滤器排除SSH流量。SSH默认使用端口22，可以在捕获过滤器中排除：not port 22。如果使用自定义SSH端口，排除相应的端口号：not port 2222。注意，这只能排除SSH协议的流量，不能排除SSH连接的建立和终止（TCP连接）。

第二种方法是使用远程接口（rpcapd）。rpcapd是Wireshark的远程捕获协议，流量使用专门的协议，不会与应用流量混合。配置后在Wireshark中添加远程接口，捕获的流量不包含SSH管理流量。但rpcapd本身也会产生流量，只是量较小。

第三种方法是预先设置捕获，然后退出SSH会话。可以在远程服务器上使用nohup或screen启动后台捕获：

nohup tshark -i eth0 -f "not port 22" -w /tmp/capture.pcapng &

然后退出SSH，让捕获在后台运行。捕获完成后，再SSH进去查看结果。这样SSH连接的流量不会出现在捕获文件中。

第四种方法是将流量重定向到本地管理网络。如果服务器有多个网络接口，可以将SSH连接路由到管理网络，捕获业务网络的接口。这样SSH流量和业务流量物理隔离，不会互相干扰。

第五种方法是使用包级别的过滤。即使SSH流量被捕获，也可以在分析时使用显示过滤器排除：not tcp.port == 22。这样在查看捕获文件时，不会看到SSH流量。

51学通信站长爱卫生的经验：在实际工作中，组合使用多种方法效果最好。例如，在远程服务器上配置not port 22的捕获过滤器，使用nohup后台运行，然后在本地分析时再应用显示过滤器。这样多层过滤确保捕获文件干净，易于分析。

---

总结

本文深入讲解了Wireshark的高级捕获技术，从捕获过滤器的BPF语法到显示过滤器的实战技巧，从环形缓冲区的配置到远程捕获的实现，涵盖了各种网络环境中的捕获方法。

掌握捕获过滤器能让你精确控制捕获的数据量，避免保存大量无关流量。BPF语法虽然简单，但足够强大，能够应对大多数过滤需求。显示过滤器提供了更灵活的分析能力，能够在已捕获的数据上反复筛选，不丢失任何数据。

环形缓冲区是长期监控的利器，通过自动管理文件大小和数量，既保留了足够的分析数据，又不会占满磁盘空间。正确配置环形缓冲区需要考虑流量速率、磁盘容量、分析时间窗口等多个因素。

远程捕获技术让你能够诊断远程设备的网络问题。无论是通过SSH运行TShark，还是使用rpcapd协议，都需要考虑网络带宽、时区同步、权限配置等问题。无线捕获则需要了解监听模式、无线帧类型、加密解密等特殊技术。

51学通信认为，捕获技术是网络分析的基础技能，就像医生的听诊器和体温计。掌握了这些技术，你就能够在各种网络环境中获取需要的数据，为后续的深入分析打下基础。

下篇预告

下一篇我们将深入探讨Wireshark的高级功能应用，带你了解统计分析工具、专家信息系统、流量分析技巧、协议层次分析以及自定义配置。你将学会充分利用Wireshark的高级功能，提高分析效率。

---

本文由”51学通信”（公众号：51学通信，站长：爱卫生）原创分享。如需深入交流或获取更多通信技术资料，欢迎添加微信：gprshome201101。