wireshark设置阻止进程上网

Posted 2023-05-04

修改TTL值为1 ，ping百度前后对比图。

修改前成功ping通，修改后ping失败。

TTL：数据报文的生存周期。在网络中每经过一个网络设备它的值-1，linux默认值是64。

TTL作用：防止数据包在公网中无限制的转发。

二、同时wireshark抓icmp包，显示发送的两个包的TTL值都为1；TTL值改为2时，抓包也得到TTL值为2；改为默认值后，回到最初状态。

三、拓展：mtr网络分析工具

1)安装mtr

2)启动mtr

3)mtr测试结果的分析

第一列:host显示的是IP地址和本机域名，这点和tracert很像；

第二列：loss%就是对应IP行的丢包率了，需要注意的是有些丢包是由于icmp的保护机制造成的，并不 代表真的丢包；

第三列:snt每秒发送数据包的数量，默认值是10，可通过参数 -c来指定发包个数；

第四列:Last显示的最近一次的返回时延；
第五列:Avg是平均值 这个应该是发送ping包的平均时延；
第六列:Best是最好或者说时延最短的；
第七列:Wrst是最差或者说时延最常的；
第八列:StDev是标准偏差，统计学名词，一种量度数据分布的分散程度标准，用以衡量数据值偏离算术平均值的程度。标准偏差越小，这些值偏离平均值就越少。 参考技术A Wireshark提供了两种过滤器：
1、捕获过滤器
捕获过滤器：在抓包之前就设定好过滤条件，然后只抓取符合条件的数据包。

2、显示过滤器
显示过滤器：在已捕获的数据包集合中设置过滤条件，隐藏不想显示的数据包，只显示符合条件的数据包。

使用捕获过滤器的主要原因就是性能。如果你知道并不需要分析某个类型的流量，那么可以简单地使用捕获过滤器过滤掉它，从而节省那些会被用来捕获这些数据包的处理器资源。当处理大量数据的时候，使用捕获过滤器是相当好用的。

Wireshark拦截通过网卡访问的所有数据，前提是没有设置任何代理。Wireshark不能拦截本地回环访问的请求，即127.0.0.1或者localhost。

WireShark检测不到网卡怎么办

第一步
1、打开windows设备管理器。
2、查看-显示隐藏的设备
3、非即插即用驱动程序
4、NetGroup Packet Filter Driver 右键属性---驱动程序---启动类型，修改类型为“系统”

第二步：
在cmd下输入net start npf，打开网络抓包服务

第三步：
运行wireshark ，此时网卡已经可以正常检测到了 参考技术A RTP包一般都是承载数据的，一般你需要知道它的承载链路才能准确的捕获到；比如对应的控制信令是SIP信令的话，那么你要在SIP信令中找到媒体端口，这样过滤条件直接设置“port 端口号”就可以捕获这条媒体链路上的RTP包了；如果不知道承载链路的媒体端口号的话，那么你在用wireshark时，不要设置过滤条件，抓这块网卡上的所有数据包，然后过滤出RTP包，但是这种做法在数据量非常大的时候，会导致软件卡死，建议设置wireshark捕获包后直接存成文件，不要显示； 参考技术B 先卸载掉wires hark，卸载的时候把他自带的那个垃圾接口插接也卸掉，叫Ncap(这个插件很垃圾)。然后先360软件管家里装一个winPcap，之后在安装wires hark 的时候也把他推荐的那个垃圾Ncap取消掉，然后正常安装就可以了。