我在一台监控机器上安装了 wireshark 来监控我们办公室的互联网流量(大约 40 台机器)。但是,每当我在大约 30-40 秒内启动 wireshark 时,它就会崩溃 - 我认为这是由于每秒接收的数据包量非常大(大约 10,000+ 个)。有没有什么办法可以解决这个问题?我尝试使用屏幕顶部附近的过滤器选项,但我仍然必须启用监控,而那时传递的数据太多了,计算机无法处理……我想!
答案1
如果您真的想跟踪办公室的整个互联网连接,那么您将需要大小合适的硬件和软件。您真的希望 wireshark 一直运行吗?您是否需要始终进行完整的数据包检查?提示 - 您可能不需要。
您是否可以通过 WebSense 或 SurfControl(查看用户正在访问的 HTTP(S) 站点)或 Netflow(识别协议和顶级谈话者)等工具获得更好的服务,或者两者兼而有之?
如果不知道您的全部目标是什么、互联网管道上有多少流量以及监控机器的性能,我们就无法告诉您如何解决问题。但我猜您正试图以错误的方式解决问题。Wireshark 最适合用于非常具体的问题故障排除,而不是作为一直运行的数据包分流器,用于解决您这种规模的办公室最常遇到的问题。
答案2
不要使用显示过滤器,而要使用捕获过滤器。这样,wireshark 就可以忽略所有您不感兴趣的数据包。
看http://ask.wireshark.org/questions/12452/where-are-the-capture-filter-options-in-wireshark-180 有关如何找到捕获过滤器选项的提示。