Wireshark有很多技巧，从捕获远程流量到基于捕获的数据包创建防火墙规则。如果您想像专业人士一样使用Wireshark，请继续阅读一些更高级的提示。

我们已经介绍了Wireshark的基本用法，所以请务必阅读我们的原始文章，了解这个强大的网络分析工具的介绍。

网络名称解析

捕获数据包时，Wireshark只显示IP地址可能会让您感到恼火。你可以自己把IP地址转换成域名，但这不太方便。

Wireshark可以自动将这些IP地址解析为域名，尽管默认情况下未启用此功能。启用此选项后，您将尽可能看到域名而不是IP地址。不利的一面是Wireshark将不得不查找每个域名，用额外的DNS请求来污染捕获的流量。

通过从“编辑”-&gt；“首选项”打开“首选项”窗口，单击“名称解析”面板并单击“启用网络名称解析”复选框，可以启用此设置。

开始自动捕获

如果要立即开始捕获数据包，可以使用Wirshark的命令行参数创建一个特殊的快捷方式。根据Wireshark显示接口的顺序，您需要知道要使用的网络接口的编号。

创建Wireshark快捷方式的副本，右键单击它，进入其“属性”窗口并更改命令行参数。在快捷方式的末尾添加-i#-k，将#替换为要使用的接口的编号。i选项指定接口，-k选项告诉Wireshark立即开始捕获。

如果您使用的是Linux或其他非Windows操作系统，只需使用以下命令创建一个快捷方式，或从终端运行它即可立即开始捕获：

wireshark -i # -k

有关更多命令行快捷方式，请查看Wireshark的手册页。

从远程计算机捕获流量

默认情况下，Wireshark从系统的本地接口捕获流量，但这并不总是您要从中捕获的位置。例如，您可能希望捕获来自路由器、服务器或网络上不同位置的另一台计算机的流量。这就是Wireshark远程捕获功能的用武之地。此功能目前仅在Windows上可用—Wireshark的官方文档建议Linux用户使用SSH隧道。

首先，您必须在远程系统上安装WinPcap。WinPcap附带Wireshark，因此如果远程系统上已经安装了Wireshark，则不必安装WinPcap。

装入后，打开远程计算机上的“服务”窗口-单击“开始”，键入服务.msc进入“开始”菜单中的“搜索”框，然后按Enter键。在列表中找到远程数据包捕获协议服务并启动它。默认情况下禁用此服务。

单击Wireshark中的“捕获选项”链接，然后从“接口”框中选择“远程”。

输入远程系统的地址，并将2002作为端口。您必须访问远程系统上的端口2002才能连接，因此您可能需要在防火墙中打开此端口。

连接后，可以从“接口”下拉框中选择远程系统上的接口。选择接口后，单击“开始”以开始远程捕获。

终端中的wireshark（tshark）

如果系统上没有图形界面，可以通过TShark命令从终端使用Wireshark。

首先，发出tshark-D命令。此命令将为您提供网络接口的编号。

完成后，运行tshark-i#命令，将#替换为要在其上捕获的接口的编号。

TShark就像Wireshark一样，将捕获的流量打印到终端。要停止捕获时，请使用Ctrl-C。

将数据包打印到终端并不是最有用的行为。如果我们想更详细地检查流量，我们可以让TShark将其转储到一个文件中，以便稍后检查。使用此命令将流量转储到文件：

tshark -i # -w filename

TShark不会在捕获数据包时显示数据包，但会在捕获数据包时对数据包进行计数。您可以使用Wireshark中的File-&gt；Open选项稍后打开捕获文件。

有关TShark命令行选项的更多信息，请查看其手册页。

创建防火墙acl规则

如果您是负责防火墙的网络管理员，并且正在使用Wireshark进行探测，那么您可能需要根据所看到的流量采取措施—也许是阻止一些可疑的流量。Wireshark的防火墙ACL规则工具生成在防火墙上创建防火墙规则所需的命令。

首先，通过单击选择要创建防火墙规则的数据包。之后，单击“工具”菜单并选择“防火墙ACL规则”。

使用产品菜单选择防火墙类型。Wireshark支持Cisco IOS、不同类型的Linux防火墙（包括iptables）和Windows防火墙。

您可以使用筛选器框根据系统的MAC地址、IP地址、端口或同时基于IP地址和端口创建规则。根据防火墙产品的不同，您可能会看到较少的过滤器选项。

默认情况下，该工具创建拒绝入站流量的规则。您可以通过取消选中入站或拒绝复选框来修改规则的行为。创建规则后，使用“复制”按钮进行复制，然后在防火墙上运行它以应用规则。

你想让我们将来写些关于Wireshark的具体内容吗？如果您有任何要求或想法，请在评论中告诉我们。