抓包工具及抓包分析 [兼容模式].pdfVIP

抓包工具及抓包分析 2014年1 月 目录 一、为什么抓包 二、wireshark使用介绍 三、wireshark抓包分析 四、capparse使用介绍 五、wifi抓包 /1125131/735178/ /cn/wireshark_stat.php /TankXiao/archive/2012/10/10/2711777.html 一、为什么要抓包 IPTV机顶盒绝大部分业务都是通过IP 网络与服务器交互，只有通 过抓取网络数据包才能分析交互流程，进而定位问题、解决问题。 抓包可以看到你所写的网络模块与服务器交互是否正确 抓包可以解析服务器发送过来的视频流或者html文件 抓包可以与其他机顶盒对比，查看自己的代码逻辑是否有错误 二、wireshark使用介绍 ∗ wireshark是非常流行的网络封包分析软件，功能十分强 大。可以截取各种网络封包，显示网络封包的详细信息。 ∗ wireshark是开源软件，可以放心使用。可以运行在 Windows和Mac OS上。 ∗ 使用wireshark 的人必须了解网络协议，否则就看不懂 wireshark 了。 二、wireshark使用介绍 ∗ 什么人会用到wireshark ∗ 1. 网络管理员会使用wireshark 来检查网络问题 ∗ 2. 软件测试工程师使用wireshark抓包，来分析自己 测试的软件 ∗ 3. 从事socket编程的工程师会用wireshark 来调试 ∗ ∗ 总之跟网络相关的东西，都可能会用到wireshark. 二、wireshark使用介绍 ∗ 为什么要用HUB抓包 ∗ 由于以太网等很多网络（常见HUB连接的内部网） 是基于总线方式，物理上是广播的，就是当一个机 器发给另一个机器的数据，HUB先收到然后把它接 收到的数据再发给其他的（来的那个口不发了）每 一个口，所以在HUB下面同一网段的所有机器的网 卡都能接收到数据。 二、wireshark使用介绍— 选择网卡 二、wireshark使用介绍— 捕获过滤 器 二、wireshark使用介绍— 捕获过滤 器 tcp dst port 3128 //捕捉目的TCP 端口为3128 的封包。 ip src host  //捕捉来源IP地址为 的封包。 host  //捕捉目的或来源IP地址为 的封包。 ether host e0‐05‐c5‐44‐b1‐3c //捕捉目的或来源MAC地址为e0‐05‐c5‐44‐b1‐3c 的封包。如果你想抓本机 与所有外网通讯的数据包时，可以将这里的mac地址换成路由的mac地址即可。 src portrange 2000‐2500 //捕捉来源为UDP或TCP ，并且端口号在2000至2500 范围内的封包。 not imcp // 显示除了icmp 以外的所有封包。（icmp通常被ping工具使用） src host 2 and not dst net /16 // 显示来源IP地址为2 ，但目的地不是 /16 的封包。 src net  mask  //捕捉源地址为 网络内的所有封包。 二、wireshark使用介绍—抓包界面 二、wireshark使用介绍— 显示过滤 ip.addr ==  // 显示来源或目的IP地址为 的封包。 器 ip.src !=  or ip.dst !=  //显示来源不为或者目的不为 的封包。 ip.src !=  and ip.dst !=  // 显示来源不为并且目的IP不为 的封包。 换句话说，显示的封包将会为： 来源IP ：除了 以外任意；同时须满足，目的IP ：除了 以外任意 tcp.port == 25 // 显示来源或目的TCP 端口号为25 的封包。 tcp.dstport == 25 // 显示目的TCP 端口号为25 的封包。 tcp.flags // 显示包含TCP标志的封包。 t