1. 抓包怎麼分析數據
問題一:抓包抓到的數據,怎麼分析啊 5分 1, 取決於你抓包的層級。一般來說都是與網站之間交換的,未經格式化的較為數據。
2, 可以從網卡抓取本機收發的數據,也有人把從瀏覽器或其它工作在頂層的軟體獲得的數據,成為抓包。
3, 如果你所在的區域網比較原始,你還是可以嘗試從網卡中獲得廣播的數據。
4, 分析有現成的軟體,主要針對無法加密的部分展開,即發送、接受方地址、時間、路徑、內容體積等進行。不涉及內容的情況下是典型的被動數據分析。
問題二:如何解析抓包的數據wireshark 首先我們打開wireshark軟體的主界面,在主界面上選擇網卡,然後點擊start。wireshark即進入抓包分析過程。在本篇我們選擇乙太網,進行抓包。
接下來再界面我們可以看到wireshark抓到的實時數據包。我們對數據包的各個欄位進行解釋。
1.No:代表數據包標號。
2.Time:在軟體啟動的多長時間內抓到。
3.Source:來源ip。
4.Destination: 目的ip。
5.Protocol:協議。
6.Length:數據包長度。
7.info:數據包信息。
接下來我們點擊解析後的某一條數據可以查看數據包的詳細信息。
在抓包過程中,我們可以點擊圖標啟動或者停止。來啟動或者停止抓取數據包。
接下來我們將簡單介紹Filter處,對來源Ip以及目的Ip的過濾表達式的寫法。
首先我們在Filter處填寫ip.addr eq 192.168.2.101。表示獲取來源ip以及目的ip都是192.168.2.101的數據包。(此處解釋 eq 換成==同樣的效果)
在Filter處填寫:ip.src == 192.168.2.101。表示獲取來源地址為192.168.2.101的數據包。
在Filter處填寫:ip.dst == 119.167.140.103。表示獲取目的地址為119.167.140.103的數據包。
在Filter處填寫:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45。表示獲取目的地址為119.167.140.103或者192.168.2.45的數據包。(此方法舉例主要說明or的用法。在or前後可以跟不同的表達式。)
在Filter處填寫:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101。表示獲取目的地址為119.167.140.103且來源地址為192.168.2.101的數據包。(此方法舉例主要說明and 的用法)
問題三:怎樣看wireshark抓包的數據 啟動wireshark後,選擇工具欄中的快捷鍵(紅色標記的按鈕)即可Start a new live capture。
主界面上也有一個interface list(如下圖紅色標記1),列出了系統中安裝的網卡,選擇其中一個可以接收數據的的網卡也可以開始抓包。
在啟動時候也許會遇到這樣的問題:彈出一個對話框說 NPF driver 沒有啟動,無法抓包。在win7或Vista下找到如禪謹C: \system\system32下的cmd.exe 以管理員身份運行,然後輸入 net start npf,啟動NPf服務。
重新啟動wireshark就可以抓包了。
抓包之前也可以做一些設置,如上紅色圖標記2,點擊後進入設置對話框,具體設置如下:
Interface:指定在哪個介面(網卡)上抓包(系統會自動選擇一塊網卡)。
Limit each packet:限制每個包的大小,預設情況不限制。
Capture packets in promiscuous mode:是否打開混雜模式。如果打開,抓 取所有的數據包。一般情況下只需要監聽本機收到或者發出的襲掘包,因此應該關閉這個選項。
Filter:過濾器。只抓取滿足過濾規則的包。
File:可輸入文件名稱將抓到的包寫到指定的文件中。
Use ring buffer: 是否使用循環緩沖。預設情況下不使用,即一直抓包。循環緩沖只有在寫文件的時候才有效。如果使用了循環緩渣基沖,還需要設置文件的數目,文件多大時回卷。
Update list of packets in real time:如果復選框被選中,可以使每個數據包在被截獲時就實時顯示出來,而不是在嗅探過程結束之後才顯示所有截獲的數據包。
單擊「OK」按鈕開始抓包,系統顯示出接收的不同數據包的統計信息,單擊「Stop」按鈕停止抓包後,所抓包的分析結果顯示在面板中,如下圖所示:
為了使抓取的包更有針對性,在抓包之前,開啟了QQ的視頻聊天,因為QQ視頻所使用的是UDP協議,所以抓取的包大部分是採用UDP協議的包。
3、對抓包結果的說明
wireshark的抓包結果整個窗口被分成三部分:最上面為數據包列表,用來顯示截獲的每個數據包的總結性信息;中間為協議樹,用來顯示選定的數據包所屬的協議信息;最下邊是以十六進制形式表示的數據包內容,用來顯示數據包在物理層上傳輸時的最終形式。
使用wireshark可以很方便地對截獲的數據包進行分析,包括該數據包的源地址、目的地址、所屬協議等。
上圖的數據包列表中,第一列是編號(如第1個包),第二列是截取時間(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是這個包使用的協議(這里是UDP協議),第六列info是一些其它的信息,包括源埠號和目的埠號(源埠:58459,目的埠:54062)。
中間的是協議樹,如下圖:
通過此協議樹可以得到被截獲數據包的更多信息,如主機的MAC地址(Ethernet II)、IP地址(Internet protocol)、UDP埠號(user datagram protocol)以及UDP協議的具體內容(data)。
最下面是以十六進制顯示的數據包的具體內容,如圖:
這是被截獲的數據包在物理媒體上傳輸時的最終形式,當在協議樹中選中某行時,與其對應的十六進制代碼同樣會被選中,這樣就可以很方便的對各種協議的數據包進行分析。
4、......>>
問題四:如何分析數據包判斷網路故障 從網路抓包是可以分析出很多東西,其中一項就是用來做排錯。
根據個人的實際經驗,用抓包來排錯有分為幾種情況:
1、通過數據包的有無來判斷故障,一般用於防火牆策略調試等場景,在防火牆上進行抓包,或交換機上鏡像抓包,或者這交換機內嵌抓包功能。這種抓包無需進行過多分析。
2、網路故障,已經明確網路設備配置不存在問題的情況下,通過抓包來判斷問題,我把這主要分為行為判斷和協議判斷。
1)最常見的是通過抓包數量來判定網路行為的是否正常,比如ARP病毒爆發一定會收到大量ARP數據包;攻擊行為也很多時候體現為大量數據包(但是一般判斷這種攻擊行為抓包不會放在第一步,只是在確定攻擊特徵時需要抓包);當然還有其他很多情況,適用於通過抓包數量來分析的。
2)通信質量判斷,抓包存在大量的重傳,此時通信質量一般都不太好。另外有視頻和語音的應用場景中,有時需要通過時間統計來判斷通信毛刺,來分析定位視頻和語音通信質量問題。
3)協議判斷,比如win2008和win2003通信時因為window
scale不兼容,導致窗口過小,而程序設計適當時,通信變動極其緩慢。這些判斷都是建立在抓包協議分析的基礎上的;另外不同廠商SIP通信對接也有可能會用到協議分析,其中一種方式就是抓包分析。
綜合而言,協議分析時要求比較高,很多人都可以說把基礎學好,但是對應實際工作多年的人,TCP/IP的協議學習一般都是多年前的事情,而且不同操作系統,對於協議棧的實現是有區別的,這部分析的工作一般都是出現問題後有針對性查資料來解決的。
說了這么多,針對抓包分析我個人的意見是:排查問題關鍵是思路,真的用到協議層判斷的場景相對而言還是比較少,初學這不必過分糾結。但是從另外一個方面來看,能深入協議層進行排錯的網工,都是具備鑽研精神的,屬於高級排錯的一部分。
問題五:怎麼通過wireshark分析 Wireshark 一般在抓包的時候無需過濾,直接在數據分析時候過濾出來你想要的數據就成了。
1.具體為Capture->Interface->(選擇你的網卡)start
這時候數據界面就顯示了當前網卡的所有數據和協議了。
2.下來就是找到我們想要的數據
教你一些技巧,比如我們要找ip地址為192.168.2.110的交互數據
可以在 Filter:裡面填寫 ip.addr == 192.168.2.110 (回車或者點Apply就OK)
如果我們只想抓TCP的 ip.addr == 192.168.2.110 && tcp (注意要小寫)
如果不想看到ACK ip.addr == 192.168.2.110 && tcp && tcp.len != 0
如果要看數據包中含有5252的值的數據(注意此處為16進制)
ip.addr == 192.168.2.110 && tcp && tcp.len != 0 && (data.data contains 5252)
3. 含有很多過濾方法可以點擊Express,裡面有一些選項,自己多試試。
用好一個工具很重要,但要長期的積累才行,自己多使用,多看點教程就OK。
問題六:wireshark軟體抓包數據怎麼查看 下載wireshark軟體,目前有中文版,為了方便演示,就用中文版的。當然,英文版本的是主流。
打開wireshark軟體,運行該軟體,進入其界面。wireshark軟體的界面布局合理,很精簡。
接下來,要選擇wireshark的抓包介面。雙擊介面列表項,於是進入了抓包介面的設置界面。
選擇你的電腦現在所使用的網卡。比如,現在這里是使用無線網卡,介面列表上有數字在跳動就是。
點擊開始,就進入到抓包的界面,於是開始進行抓包。該界面顯示了抓包的動態,記錄了抓包的過程。
抓包完成後,就點擊停止抓包的按鈕,就是紅色打叉的那個。
最後選擇保存按鈕,選擇保存的位置。保存的文件以後都可以用wireshark打開,來進行歷史性的分析。
問題七:如何查看抓包數據 對於標準的Http返回,如果標明了Content-Encoding:Gzip的返回,在wireshark中能夠直接查看原文。由於在移動網路開發中,一些移動網關會解壓顯式標明Gzip的數據,以防止手機瀏覽器得到不能夠解壓的Gzip內容,所以,很多移動開發者選擇了不標準的Http頭部。也就是說,Http返回頭部並沒有按標准標Content-Encoding:Gzip屬性。這樣就導致在wireshark中無法直接查看。
這時,將抓包得到的數據以raw形式存為文件,再使用UE以16進制查看,去掉文件中非Gzip壓縮的數據,就可以將文件用Gzip解壓工具解壓後查看原文了。Gzip數據以1F8B開頭,可以以此來劃分文件中的Gzip和非Gzip數據。
問題八:如何利用網路抓包工具得到的數據怎麼解析tcp/ip Telnet協議是TCP/IP協議族中的一員,是Internet遠程登陸服務的標准協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序,用它連接到伺服器。終端使用者可以在telnet程序中輸入命令,這些命令會在伺服器上運行,就像直接在伺服器的控制台上輸入一樣。可以在本地就能控制伺服器。要開始一個telnet會話,必須輸入用戶名和密碼來登錄伺服器。Telnet是常用的遠程式控制制Web伺服器的方法。
一. 准備工作
虛擬機Virtual Box(Telnet服務端)
--安裝Windows XP SP3操作系統
------開啟了Telnet服務
------添加了一個賬戶用於遠程登錄,用戶名和密碼都是micooz
宿主機Windows 8.1 Pro(Telnet客戶端)
--安裝了分析工具Wireshark1.11.2
--安裝了Telnet客戶端程序
PS:虛擬機網卡選用橋接模式
問題九:wireshark軟體抓包數據怎麼查看 wireshark是捕獲機器上的某一塊網卡的網路包,當你的機器上有多塊網卡的時候,你需要選擇一個網卡。
點擊Caputre->Interfaces.. 出現下面對話框,選擇正確的網卡。然後點擊Start按鈕, 開始抓包
WireShark 主要分為這幾個界面
1. Display Filter(顯示過濾器), 用於過濾
2. Packet List Pane(封包列表), 顯示捕獲到的封包, 有源地址和目標地址,埠號。 顏色不同,代表
3. Packet Details Pane(封包詳細信息), 顯示封包中的欄位
4. Dissector Pane(16進制數據)
5. Miscellanous(地址欄,雜項)
問題十:wireshark完成抓包後,怎麼分析 你直接抓會有大量大量無用的干擾包(比如你的ARP請求,你電腦的其他軟體的後台更新等等),建議你做個過濾器,只抓取你本機到新浪的會話(或者只抓取HTTP協議),然後所得的數據包都是你想要的,這整個包就是從你發起訪問到新浪伺服器回復給你的數據包
2. 應用抓包之Fiddler抓包
tcpmp抓包: 應用抓包之tcpmp命令抓包
1.抓包工具Fiddler(Windows版)
2.真機一個
3.預抓包的App一個(我們以app抓包為例)
Fiddler是位於客戶端和伺服器端的HTTP代理,也是目前最侍模常用的http抓包工具之一 。 它能夠記錄客戶端和伺服器之間的所有 HTTP請求,可以針對特定的HTTP請求,分析請求數據、設置斷點、調試web應用、修改請求的數據,甚至可以修改伺服器返回的數據,功能非常強大,是web調試的利器。
1.打開Fiddler
2.設置埠(Tools->Fiddler Options)使用默認就行
使用1024之後的,0-1023周知埠,一般都是系統和一些與設置的埠,埠1024到49151為注冊埠,分配給用戶進程或應用程序
既然是代理,客戶端的所有請求都要先經過Fiddler
3.讓手機和PC處於同一網路下(連同一WiFi或同一網段即可)
查看PC的IP地址
4.到開手機WiFi設置
進入WiFi詳細信息(不同手機選項可能不同)
手動設置代理(用的手機在高級設置里)
主機名就是PC的IP
埠就是在Fiddler設置的埠
5.刷新一下app要抓數據的頁面
不小心抓了個用WebView的app,尷尬兩秒鍾
發現這個app會獲取手機歸屬地,位置信息等
成功抓到數據
瀏覽器請求一下
6.新建個文本文件,保存抓到的介面。例如:
7.一個個界面去抓,分析老飢緩出介面
抓完記得把手動設肢旦置代理關了,不然有可能上網很慢。
3. 如何通過wireshark進行抓包的分析
啟動wireshark後,選擇工具欄中的快捷鍵(紅色標記的按鈕)即可Start a new live capture。
主界面上也有一個interface list(如下圖紅色標記1),列出了系統中安裝的網卡,選擇其中一個可以接收數據的的網卡也可以開始抓包。
在啟動時候也許會遇到這樣的問題:彈出一個對話框說 NPF driver 沒有啟動,無法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe 以管理員身份運行,然後輸入 net start npf,啟動NPf服務。
重新啟動wireshark就可以抓包了。
抓包之前也可以做一些設置,如上紅色圖標記2,點擊後進入設置對話框,具體設置如下:
Interface:指定在哪個介面(網卡)上抓包(系統會自動選擇一塊網卡)。
Limit each packet:限制每個包的大小,預設情況不限制。
Capture packets in promiscuous mode:是否打開混雜模式。如果打開,抓 取所有的數據包。一般情況下只需要監聽本機收到或者發出的包,因此應該關閉這個選項。
Filter:過濾器。只抓取滿足過濾規則的包。
File:可輸入文件名稱將抓到的包寫到指定的文件中。
Use ring buffer: 是否使用循環緩沖。預設情況下不使用,即一直抓包。循環緩沖只有在寫文件的時候才有效。如果使用了循環緩沖,還需要設置文件的數目,文件多大時回卷。
Update list of packets in real time:如果復選框被選中,可以使每個數據包在被截獲時就實時顯示出來,而不是在嗅探過程結束之後才顯示所有截獲的數據包。
單擊「OK」按鈕開始抓包,系統顯示出接收的不同數據包的統計信息,單擊「Stop」按鈕停止抓包後,所抓包的分析結果顯示在面板中,如下圖所示:
為了使抓取的包更有針對性,在抓包之前,開啟了QQ的視頻聊天,因為QQ視頻所使用的是UDP協議,所以抓取的包大部分是採用UDP協議的包。
3、對抓包結果的說明
wireshark的抓包結果整個窗口被分成三部分:最上面為數據包列表,用來顯示截獲的每個數據包的總結性信息;中間為協議樹,用來顯示選定的數據包所屬的協議信息;最下邊是以十六進制形式表示的數據包內容,用來顯示數據包在物理層上傳輸時的最終形式。
使用wireshark可以很方便地對截獲的數據包進行分析,包括該數據包的源地址、目的地址、所屬協議等。
上圖的數據包列表中,第一列是編號(如第1個包),第二列是截取時間(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是這個包使用的協議(這里是UDP協議),第六列info是一些其它的信息,包括源埠號和目的埠號(源埠:58459,目的埠:54062)。
中間的是協議樹,如下圖:
通過此協議樹可以得到被截獲數據包的更多信息,如主機的MAC地址(Ethernet II)、IP地址(Internet protocol)、UDP埠號(user datagram protocol)以及UDP協議的具體內容(data)。
最下面是以十六進制顯示的數據包的具體內容,如圖:
這是被截獲的數據包在物理媒體上傳輸時的最終形式,當在協議樹中選中某行時,與其對應的十六進制代碼同樣會被選中,這樣就可以很方便的對各種協議的數據包進行分析。
4、驗證網路位元組序
網路上的數據流是位元組流,對於一個多位元組數值(比如十進制1014 = 0x03 f6),在進行網路傳輸的時候,先傳遞哪個位元組,即先傳遞高位「03」還是先傳遞低位「f6」。 也就是說,當接收端收到第一個位元組的時候,它是將這個位元組作為高位還是低位來處理。
下面通過截圖具體說明:
最下面是物理媒體上傳輸的位元組流的最終形式,都是16進製表示,發送時按順序先發送00 23 54 c3 …00 03 f6 …接收時也按此順序接收位元組。
選中total length:1014, 它的十六進製表示是0x03f6, 從下面的藍色選中區域可以看到,03在前面,f6在後面,即高位元組數據在低地址,低位元組數據在高地址(圖中地址從上到下從左到右依次遞增),所以可知,網路位元組序採用的是大端模式。
4. 網路抓包工具怎麼用
網路抓包工具怎麼用
點開用 會抓取你電腦經過網卡的數據包 分為 tcp udp ip arp 的數據包 然後自己分析
怎麼用網路抓包工具最好是有 流程的
如果需要專業一點請用
ethereal(英文)不是超簡單
sniffer (有中文漢化的)也不錯,有許多人說是最強的,但我還是認為ethereal最簡單好用
抓包工具wireshark怎麼用
這里有教程,一看就懂blog.jobbole/70907/
抓包工具是干什麼的?如何使用
抓數據包的,可以用來分析網路流量,可以用來破譯抓來的數據,比如密碼之類的。網上應該有相關教程,自己研究
如何使用抓包工具?為什麼要抓包
抓包主要抓取流量,用於分析,如網路診斷、流量分析等等 可以試試基於進程抓包QPA工具
如何用抓包工具分畝凱析出有用的網路數據 5分
這些內容都是加密的,抓包是分析不出來的!!
如何使用抓包工具
開始界面
wireshark是捕獲機器上的某一塊網卡的網路包,當你的機器上有多塊網卡的時候,你需要選擇一個網卡。
點擊Caputre->Interfaces.. 出現下面對話框,選擇正確的網卡。然後點乎耐擾擊"Start"按鈕, 開始抓包
Wireshark 窗口介紹
WireShark 主要分為這幾個界面
1. Display Filter(顯示過濾器), 用於過濾
2. Packet List Pane(封包列表), 顯示捕獲到的封包, 有源地址和目標地址,埠號。 顏色不同,代表
3. Packet Details Pane(封包詳細信息), 顯示封包中的欄位
4. Dissector Pane(16進制數據)
5. Miscellanous(地址欄,雜項)
使用過濾是非常重要的, 初學者使用wireshark時,將會得到大量的冗餘信息,在幾千甚至幾萬條記錄中,以至於很難找到自己需要的部分。搞得暈頭轉向。
過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。
過濾器有兩種,
一種是顯示過濾器,就是主界面上那個,用來在捕獲的記錄中找到所需要的記錄
一種是捕獲過濾器,用來過濾捕獲的封包,以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置
保存過濾
在Filter欄上,填好Filter的表達式後,點擊Save按鈕, 取個名字。比如"Filter 102",
網路上的抓包工具有什麼用
Ethereal 不錯,而且很小!
什麼網路抓包工具好用
solarwinds
wireshark
sniffer pro
如何利用網路抓包工具得到的數據怎麼解析歲旦tcp/ip
Telnet協議是TCP/IP協議族中的一員,是Internet遠程登陸服務的標准協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序,用它連接到伺服器。終端使用者可以在telnet程序中輸入命令,這些命令會在伺服器上運行,就像直接在伺服器的控制台上輸入一樣。可以在本地就能控制伺服器。要開始一個telnet會話,必須輸入用戶名和密碼來登錄伺服器。Telnet是常用的遠程式控制制Web伺服器的方法。
一. 准備工作
虛擬機Virtual Box(Telnet服務端)
--安裝Windows XP SP3操作系統
------開啟了Telnet服務
------添加了一個賬戶用於遠程登錄,用戶名和密碼都是micooz
宿主機Windows 8.1 Pro(Telnet客戶端)
--安裝了分析工具Wireshark1.11.2
--安裝了Telnet客戶端程序
PS:虛擬機網卡選用橋接模式
5. 應用抓包之tcpmp命令抓包
原料
1.預抓包的App一個(我們以app抓包為例)
2.已配置android sdk
3.分析軟體Wireshark(Windows版)
4.抓包命令:tcpmp
5.模擬器或真機(以模擬器為例,真機需root)
首先我們先配置下環境變數
1.先來個ANDROID_HOME:SDK的路徑,類似於JAVA_HOME。(一勞永逸,以後安裝到別的路徑,改變一下HOME路徑就行)
2.把sdk路徑下的platfrom-tools和tools添加到環境變數
配置好就可以用adb命令了
1.執行tcpmp命令
tcpmp可以將網路中傳送的數據包完全截獲下來提供分析。
以上命令將截獲的數據包保存到sdcard,capture.pcap抓取是數據包,pcap為Wireshark分析文件的後綴。
這時抓包就開始了,在手機上刷新幾下要抓取數據的app。
抓完之後按ctrl+c停止抓包
2.將抓取的數據導出到電腦上(從sdcard導出到電腦上分析)
退出android shell環境(命令行輸入兩次exit),回到Windows環境。
接著執行
導出剛才抓到的文件到電腦d盤。(如果導出失敗,自己手動把抓包數據復制到電腦上)
或者通過DDMS導出到電腦
3.Wireshark打開剛才獲取到的.pcap文件
過濾出http
點擊某一個抓到的http包,可以查看它的詳細信息(自己判斷一下可能是哪個域名)
我們可以看到是get請求
復制出來去請求一下(右鍵->復制->值)
去瀏覽器中請求
再結合app,看看是哪個界面的內容
4.新建個文本文件,保存抓到的借口。例如:
看看請求出來ip地址,順著ip找出所有的api借口
54開頭的就是我要抓的app。