我正在使用 wireshark 捕获流量。一切运行正常,但不知何故,在我捕获超过 200 万个数据包后,wireshark 就崩溃了。
我不知道原因是什么,但我试了三次,每次在 200 万之后它都会崩溃。所以我每 100 万个数据包导出一次数据,File->Export->File然后重新启动捕获。
一切正常,但是有没有办法自动告诉 wireshark 在特定数量的数据包或特定时间限制后导出并重新启动捕获?
答案1
您要监控的链路上有多少数据在流动?Wireshark 的主要任务是向您显示它所看到的每个数据包的尽可能多的信息,并且默认情况下它会这样做。如果您尝试实时剖析大量数据包,则可能会很快耗尽内存。
有几种方法可以解决这个问题:
- 在 Wireshark 的捕获选项中,确保“实时更新数据包列表”被禁用并且“使用多个文件”被启用。
- 不要使用 Wireshark,而是使用转储盖。Dumpcap 效率更高,当您单击 Wireshark 中的“捕获”按钮时,它实际上会捕获数据包。
顺便说一句,您可能希望使用“保存”来保存捕获文件。根据您选择的文件格式,“文件→导出”可能会将数据包保存到 Wireshark 无法读取的文件中(因此有“导出”一词)。