如何讓W(xué)ireshark可以捕獲無(wú)線網(wǎng)卡的數(shù)據(jù)包？如果是使用Wireshark通過(guò)無(wú)線網(wǎng)卡進(jìn)行不活數(shù)據(jù)包時(shí)，如果是發(fā)現(xiàn)只可以捕獲有網(wǎng)線連接的數(shù)據(jù)包，無(wú)法抓到無(wú)線網(wǎng)卡數(shù)據(jù)包，可以試著設(shè)置Capture，

如何讓W(xué)ireshark可以捕獲無(wú)線網(wǎng)卡的數(shù)據(jù)包？

如果是使用Wireshark通過(guò)無(wú)線網(wǎng)卡進(jìn)行不活數(shù)據(jù)包時(shí)，如果是發(fā)現(xiàn)只可以捕獲有網(wǎng)線連接的數(shù)據(jù)包，無(wú)法抓到無(wú)線網(wǎng)卡數(shù)據(jù)包，可以試著設(shè)置Capture，Options，不要在勾選Capture packets in promiscuous mode 。建議可以嘗試操作。具體的以實(shí)際的操作情況為準(zhǔn)。

過(guò)濾規(guī)則是什么？

只抓取符合條件的包，在Wireshark通過(guò)winpacp抓包時(shí)可以過(guò)濾掉不符合條件的包，提高我們的分析效率。

如果要填寫(xiě)過(guò)濾規(guī)則，在菜單欄找到capture-gtoptions，彈出下面對(duì)話框，在capture filter輸入框內(nèi)填寫(xiě)相應(yīng)的過(guò)濾規(guī)則，點(diǎn)擊下方的start 就生效了。

icmp是用什么封裝的？

icmp是封裝在ip數(shù)據(jù)包中，其報(bào)文可分為：差錯(cuò)報(bào)文和查詢報(bào)文，如ping程序和tracert程序都是通過(guò)icmp協(xié)議實(shí)現(xiàn)，可以用wireshark抓個(gè)包，自己對(duì)著icmp數(shù)據(jù)包格式，進(jìn)行分析

ICMP使用IP的基本支持，就像它是一個(gè)更高級(jí)別的協(xié)議，但是，ICMP實(shí)際上是IP的一個(gè)組成部分，必須由每個(gè)IP模塊實(shí)現(xiàn)

wireshark怎么設(shè)置過(guò)濾條件？

過(guò)濾源或目的MAC地址為a.a.a.a.a.a的數(shù)據(jù)包 過(guò)濾源MAC地址為a.a.a.a.a.a的數(shù)據(jù)包eth.dsta.a.a.a.a.a 過(guò)濾目的MAC地址為a.a.a.a.a.a的數(shù)據(jù)包當(dāng)然某些時(shí)候你不會(huì)過(guò)濾表達(dá)式時(shí)，你可以在中間Packet detail一欄中，右擊某個(gè)需要過(guò)濾的地方應(yīng)用為過(guò)濾器

如何將wireshark抓到的包，RTP的payload為AMR編碼轉(zhuǎn)為。AMR文件或者其他類型的音頻文件，以便播放器播放？

我一般是直接用winpcap開(kāi)發(fā)庫(kù)操縱，把rtp負(fù)載提取出來(lái)(可以消除亂序、重復(fù))，然后用一些轉(zhuǎn)換工具把原始碼流的amr轉(zhuǎn)換成其他格式的。

一般使用諸如ffmpeg或者mencoder之類的，也許mplayer能直接播放。