确定要抓取的设备流量，决定好安装有wireshark笔记本的位置，开启交换机的端口镜像功能。 可以利用wireshark监控LAN，WAN，服务器，路由器端口及连接到网络的任何其它设备的流量。 另外有些厂商的交换机还支持监控所有VLAN的流量，多端口流量，选择出入流量。 下图路由器外部流量监控操作会导致WAN口断网一段时间。 防火墙浏览监控因为NAT的原因，在防火墙外看不到内网IP信息，在防火墙内看不到攻击者信息，根据实际情况合理选择位置。 抓包选择网卡，执行start 下面是一些抓包接口设置 wireshark抓包在windows平台使用WinPcap驱动，unix/linux平台使用libcap驱动。 对于有些时间是关键因素的数据包，同步时间是非常重要的。 抓包主界面主要有三个工具栏