Wireshark抓包软件之干翻系统案例

一、概述

众所周知，Wireshark是一款强大的网络抓包分析工具，然而使用它也存在风险，一不小心，干翻你的系统。

二、问题场景

某日，某Windows服务器业务系统存在网络故障，业务访问不稳定，排查工程师Listen接手排查此问题。Listen排查该问题一直未果，他决定在服务器部署Wireshark进行抓包分析。期间，由于其它事情的干扰，Listen在服务器开启转包软件后，未关闭；第2天，他想起抓包事情时，发现Windows系统崩溃了。

三、问题原因分析

1、Wireshark抓包软件开启网卡抓包，获取的报文会临时存在到临时文件中；

2、服务器业务系统流量较大，Wireshark抓取的大量的数据临时保存到系统C盘的临时文件目中，致使系统C盘占满，系统崩溃。

四、Wireshark存放临时文件目录在何方

Wireshark存放临时文件目录查看方式如下图所示：

五、实际场景演练

1、准备环境

两台PC，命名PC1和PC2，其中PC1安装Wireshark抓包软件，PC2搭建临时FTP服务器，两台PC在同一局域网中可互相访问。

2、操作步骤

（1）、PC1通过FTP客户端连接PC2FTP服务器端；

（2）、PC1开启抓包软件，并向PC2上传大量数据；

3、操作记录

PC1开启抓包软件后，即立刻在临时存放文件目录生成临时文件，如下图所示；

随着PC1不断向PC2上传数据，生成的临时文件大小不断增大；

六、总结

通过以上的分享，相信各位应该明晰使用Wireshark抓包软件的风险。

个人推荐建议：

1、Wireshark抓包前需评估网卡的流量情况；

2、Wireshark抓包可设置过滤器，仅抓取想要的数据；

3、严禁Wireshark无人看守的情况下，让Wireshark一直运行；