问Wireshark广播风暴

EN

如果您只捕获内存，并在缓冲区耗尽时停止，那么在广播风暴的情况下，最后一个帧时间将是缓冲区耗尽内存时。我不知道为什么要这样做，而不是捕获到磁盘。

首先，让我们澄清一些事情

1. 记忆在这里意味着什么？？

a. it should mean interface buffer

1. 哪个界面？

a. it can be your interface or any active device interface (switch for example)

如果您需要监视广播，将有两种方式.the首先是监视您的PC接口本身，这可能是无效的，因为您可能遭受任何恶意软件攻击，导致您的接口堵塞。第二种方法是将活动设备(交换机)配置为将通信量的副本旋转到连接到的端口，然后尝试通过wireshark进行监视。不管怎么说，如果你决定使用它们中的任何一个，你必须事先得到它。

任何发送到网段上所有站的分组都被认为是广播业务。广播地址通常由为以太网(和其他802.x网络)执行某种discovery.的ARP、DHCP和其他协议使用，_以太网为广播流量指定了全能型地址(ff:ff)；这也用于其他802.x网络，因为well. for IPv4_类似地广播了所有ones地址(255.255.255.255)。如果IP地址的主机部分为所有IP地址(例如，如果地址为192.168.0.255，网络掩码为255.255.255.0)，则该地址也是广播地址。早期的广播IP地址为0.0.0.0，但很久以前了，在广播地址的通配符部分不再使用零。

so you easily can monitor the traffic destine to ff:ff:ff:ff:ff:ff or 192.168.0.255

另一种方法是捕获所有通过您的接口输入的流量，然后按流量大小对其进行排序，这种方式更适合于非管理的网络。here you may need to setup the proper filter to capture this broadcast。增加Wireshark查找顶级广播商(或也会影响网络活动的多播数据包)的功能，可以执行以下操作：

1. 设置一个新的“捕获过滤器”如下：

过滤器名称:广播和多播

过滤字符串:广播和多播

1. 选择“显示捕获选项”工具栏按钮。
2. 选择“捕获过滤器”按钮，双击“广播和多播”过滤器。
3. 选择“开始”，然后进入“统计”、“会话”并选择"IPv4“选项卡。
4. 最后，按字节对列表进行排序，并在发生事件时尝试查找罪魁祸首。