如何查看网络数据包里面传送的 文件内容

数据包的接收亩者穗和发送不平衡是正常情况，如果长时间相差太大的话你可以检查一下你的网线是不是有松动，独立网卡可以拆下来把嫌脊金手指擦擦，从新安装一下网卡驱动。如果迅卜还是不能解决问题的话就只有从新安装系统，以排除硬件问题，从做系统问题依旧可以考虑是不是硬件问题，硬件问题包括网卡问题（集成网卡也会出问题）、网线或网线的水晶头问题、猫的问题等。

如何查看网络数据包里面传送的 文件内容

   wireshark软件可以用来可视化抓包网络数据包，准确来说是数据链路层的数据帧。但是要是在windows平台下需要做成个服务来开机键伏就启动抓包程序，并定期保存抓包文件，那就需要使用dumpcap或tshark工具。

1、进入wireshark的安装目录，既是dumpcap.exe的目录。

2、命令行使用dumpcap命令行，dumpcap -h可以查看命令的参数options。

dumpcap.exe -i 2 -b filesize:1024 -w E:\wsrecord\wlan.pcap -f "host 192.168.31.40"  -b files:3

命令里面需要确定捕捉的网卡，文启亮游件大小，文件路径和过滤规则。

-i后面是网卡，dumpcap -D查看网卡的编号，也可以直接写网卡名。

-b后面是文件大小，单位是kb。还可悄销以跟着其他参数，比如files就可以控制文件循环数量。   

-b files:3就说明文件数量超过三个则覆盖原文件，这个功能可以控制文件数量，删除历史数据。特别是按照时间间隔来保存数据包时，就可以控制历史数据保存时间了。

 -w是文件路径，注意是反斜杠。

 -f后面是过滤规则，host 192.168.31.40则是只抓包这个IP的数据包。

4、将所有命令写入批处理文件dumpcap.bat文件中。

改写程序，添加title信息和显示方式，cmd界面更加好看：

title dumpcap localhsot

color 0a &mode 70,5

D:

cd Wireshark

dumpcap.exe -i 2 -b filesize:1024 -w E:\wsrecord\wlan.pcap -f "host 192.168.31.40" -b files:3

pause

或者一直保存数据，然后使用脚本按过期时间删除：

forfiles /p "E:\wsrecord" /s /m *.* /d -7 /c "cmd /c del @path"

5、设置为开机启动

将bat批处理文件放置在启动文件夹中，或者在任务计划程序里面设置开机启动。

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 

    但是如果是在linux平台下呢？笔者以为会更加简单，运行sudo nano /etc/rc.local，在exit 0之前添加 tshark -i 2 -b filesize:1024 -w var/temp -f "host 192.168.31.40" -b files:3 &  就可以实现开机启动了， tshark是在默认路径里面，直接设置开机启动就行了。

  众所周知，在Windows下开发运行环境下，在调试网络环境时，可以可以很方便的借助wireshark等软件进行抓包分析；并且在linux或者Ubuntu等桌面版里也可以进行安装抓包工具进行抓包分析，但总有一些情况，无法直接运用工具（比如一些没有界面的linux环境系统中），则此时我们就需要使用到最简单的tcpdump命令进行网络抓包。

  一般的，linux下抓包时，抓取特定的网络数据包到当前文件夹下的文件中，再把文件拷贝出来利用Windows下的wireshark软件进行分析。

tcpdump命令详解：（简单举例）

  1、抓取到的文件为filename.cap，然后将此文件拷贝到Windows下，使用wireshar打开后，即可对此文件进行分析稿燃。

  2、eth0 是主机的网络适配键扰虚器名称，具体的李唤参数值可以在linux命令行窗口中通过 ifconfig 指令查询。

---