具体抓包步骤与分析方法

1、具体抓包步骤一、首先打开wireshark进入主界面二、点选Capture Options快捷键Ctrl+K进入捕捉过滤器界面三、设置捕捉过滤器抓包方式为Capture packets in pcap-ng format混乱抓包，（Capture Filter具体过滤命令见wireshark详解，）四、点选Start开始进行抓包具体捕捉过滤设置如下:Link-layer hsadsr t/pe:QTf3e.Coripile BPF开始抓苞选择需蔓监听 的网卡选择混乱抓包 模式制定过;虑萩则Captureintsrfre: Local vCapture Fiefs)叫 kuianctia scr

2、oll mg i n live aaptur eName Resolution可 En必1c* 地虹 n皿口 raEalut dnI I Ejiatle netvnrk rsme reEolntion0 Emlile tr-ajicport：Coptura p.clctE in pr rriisauuE maI 回 Coptui-* p.cleets in pcap-xig smat虹n 6 i U t L Ti gwITec* rnultipla 1 lacDisplay OptionsCancelRealtek 10/L00/1OXI Ethernet NICp adless: 9 Lim

3、it, u汰ch packet 5Buffer 3ZE；I */1 h11 e evaryI i ffsKt file feveryJ S tep = a.p Im- e ati：TL 即*)Fiegalyte (s)叵|listStop CaptureJ . ot trFl 皿侦I I . . . afternmute fe)StartrregaLytii (s J nj iLuie 缶EtkArnt 71* meai3bvte(5)TiieshaKt ； Captuit; OptioilsWireshark抓包开始运行后，我们就可以打开我们需要抓包分析的应用了（在这之前，如果对端口号和IP

4、不熟悉的用户，可以先打开路由web管理界面的内网监控 看一下正在运行的连接，并记录下来） 五、ikuai路由内网监控连接状态介绍如图所示，在系统状态下的内网流量监控里的某个IP下的终端连接详情里，我们可以看到某个IP下这台机器目前正在运行的一些网络连接的详细信息。在这里我们着重讲 下连接状态的定义1、2、3、4、已连接等待-或无状态未定义正在连接的数据流等待转发或连接的数据流无交互性连接，例如UDP连接未经路由向外网进行转发或者传输的数据连接。例如内网数据通信渲？=沛可 r IP；. P；L&21S.7J1 .Xe：古盅星群茜篥岸港 整号洋治咨代用至协叱名fir协沮至型目宗曲址目瞒口9卜同峭址

5、本也和i浦牯忘1letupicinp11242ALA192.168 J. J!tep61.135186152&Ci12.168:1.7(1=:2hTTrEpW2A&ejJ.8Ci1蚣163工2S6网4夏竺HTTPbp网5糖；号疗M 理 HTTPr叩192,L6BJJ熨192.168J25S536|北1尖咽化55L=：8iLZlc.S.JDNSLld|：S B E* El55192.163.7 fl4175BgprU/tfJ-Jp22：.97花1S2.1&SX7050-41六、具体针对某个软件进行抓包分析的步骤与过程具体步骤完成了上述操作后，我们运行需要抓包分析的软件（我们已迅雷为例） 之后我们

6、需要再次查看终端连接详情-ng t P： | F：192.168 _.2舄母洋倩旧宥骇号洋情墀袖速目妊岫串布口外闷晚扯丰批有口icnipicinpCL.L48.1S5J!：ill?j lc.S-1.70J三也 HTTPtep2Ci2J.03.2B.15-J8u192 J 63 J. 0皿mTA=-r：ytep12001192J6SJ.70EJ巧=;=4tep123J.2 5.22.139SQ192.165 AJO网Li=.二后5tep12168-71&UIE；6345ri邱19Z-16RJ-100152.16S.72三*ran a atepGL.135.1BS45280Tfi569.Z-：H=

7、;i3=-j?tp122J.4?-o.LSSOSOlj2_L6SX70关布=-g己三言r况t、一 fZZ10溟tep1K849L253.52459 mJ.WU J.S2；m归57BHT fh11门-K壬t1IMII* u-jgt. r*.inIM-理.L.Mm.am.rvid4 1W 1W.1. M iw.iM.i.rci iH.iu.i.n ua.ajtt.i.Ki 19-344.1.4S:#HS iEETr-CTTXr s.=ss MWL flbrjd-3B rfi, hC-： UqTU ukvlLIE-4Y1H ME_nFMplTTTr m-p JK-E B；aL5riLMlrlJJJM

8、518-. r.i,rji,WHiRi：.iiMirii ：. .iJJ-i SJ：Ui. nj rir.-T.TOP14MCP3HTfKnthAhi E-vsIad *tulbL7akferfk*ucL:1id “ttftJ?irqpq胸rvf.ammweIM wav如图所示，在这里我们可以看到TCP协议经典的三次握手过程，三次握手之后就是 具体的连接数据，也就是我们需要分析的内容了，CP65 fibutrader-erm http 5/N5eq-0 wi n-5 53 5 Len-0 551川4。W5-8 S.fl flbdirader-cctti s/rd.ACK Eeq-Cl ACk-

9、1 w1 n=-6553 5 L&A-O mse-144.0 ws-J sack_perki-1CP5日 fi batrader-coti :- hrzp ACkSeq=l Ack=l -0 = 372256 LEn = DHTTP 771 T /news/pi c/1 tem/SBeea ded 5t- Jhvtp/l.l-CP3 http j fibotrader-ccfli ACKCP1-474 tcp segrtient of a reas-setibleZflOfE PiJ-：jE,t (Eg*JCP1474 tcp ssgrtienT of a reassatible-G Set

10、Titie REferEraeCP功了日TCP setienrc af a reassBtible曲帷-1。TFCP1-A7-4 TCP segment of a reassnble冏日 nuay njescivB MLnrsssCP14F4 tcp segment of a reasanbleftppH as FltarCP1-474 tcp segrtieni of a reas-setibleft-gpane a AfterCP117 TCP sejtienrc af a reassBtibleCP1A7A TCP sentient af a reassBtibleCP58 TCP se

11、gment of a reassnbleJJEB LDt rffirMfllDt I_PCP54 f i borr-iidfirczrfl http a_h.J 54 fi botrader-coti、hrTp ACkCP5日 f bat r adar-cotti 指 hrxp ACkDCP5-fl fibotrader-erm http .ACKFdtiMj 崩L tUejmpn-DCP54 f 1bOLr.3der-corti hrrp .ackf-en-o1CP17 了匚F segmeni cif a reassatiblecepy*CPTCP setienrc af a reassBt

12、ibleH.匚机口也as.点击三次握手之后的任意数据。单击右键，选择follow tcp stream打开打开之后我们就可看到这条HTTP连接的具体信息了在这里我们需要查看记录的可用信息一般有三项：URL:统一资源定位符（第一行除GET之外的字段）HOST:主机名称Referer：链接地址记录之后保存并退出wireshark，关闭正在测试的软件，并确保结束系统后台进程， 如测试的是某个网站，要清除浏览器缓存Realfek 10/1-00/1000 Ethernet NIC| Edit View Go.Capture Analyze Statistics Telephony TookI_nter

13、rial5 HelpOpen.Ctrl+O5电华瓣电吞愚1恒回压Open B巳匚entMerge.V1 E：pr essi on.Import.DestiiLatiijnApp N:ini e二匚1汜Ctrl+W08unset192.16S.1.70unsetC3 SaveCtrl+S0Sunset# Save M.Shft+CtrJ+Sdlll.O6.Z.4Shttp192.16S.1.70httpFile Set值192.16S.1.70httpExportfa43192.16S.1.70http43192.16S.1.70httpij Print.Ctrl+P431

14、92.16S.1.70http480http咽 QuitCtrl+Q480http|1 a-i nn -i-i TrtIrta-I- -1- lWireshark存储方式如图所示点选file下的Save As.或快捷键shift+ctrl+s在保存界面里选择Displayed只保存当前过滤出的内容（Captured为保存全部数据包）最后重复上述操作三到四此，观察三项数值是否存在相同性，并记录下来（建议大家直接直接将所有保存的数据包直接发送给我们并说明来源，具体分析添加将 由我们来完成）2、tcp类协议分析方法tcp类协议分析方法基本与HTTP类相似，唯一不同的就是具体协议分析需要记录的点Fol

15、low TCP StrcHMstream content侦，.如k. J . Q. s2s_F十，-#- .igrii .3. .2. lEr-iD1一,).iauaiBiiBB 右 a t u ahaBUBiakJBiBUjaiBiiBadBiBhdsi-kBajaiaLdBiBkdBaaLBiidBiBi.ti J*4f L -,(1口 ti r-. t E -f -=.14 .次，.9.itk.一t,.$一 D/t.H.C.$.！：0.W,B.Z&.-.DD1.0.U.US1.0._ U.I.pqA-6.0GeoTrust lncal. 0. . u. . -GeoTrust SSL C

16、A - G20.W0623000OOOZ.L6102B2 3 5959Z0, .1-。2，cr-Jl. 0. u - u. a t.GUdngdongl10. u B ua u - . shenhenl: 0. a ll alshenzhen Tencent computer Systams campany Llmltedl.D LL.RdDL. CL .IL Sr B+0. N北K,.聚.Lm B. . 0. . . .ICOhttp:/gb, symcb. ccni/gb. cl巴LL , A00Z.Ha. - E. 6OLD#. -4-. B t B =, = https :/d- sy

17、mcb- com/cpsaxB B-b. a a t - paCl. “LiWD.叶十DU#D.J59. 1.-r ! / 、 l vn 口 .*. L.l r .l 、 wr日https :/du gymcb. com/ th 、. i Ow. +k：OLO.pap.匚|匚| caniO. . 0如图所示，TCP协议打开后会看到这样一个界面，其中显示的是这条数据的明文内容。在这个界面里我们可以用到的选项有Find :查找，通常会在对比时用到Hexdump:明文与16进制译文分屏显示C Arrays:16进制译文另外关于颜色方面，红色为客服端发送的数据包，蓝色为服务端发送的数据包Qxc4, O

18、xb5 Ox be； Qx-ds, Qxlf, 0 x64, Qxd, Qcb,Q-x3c, Qxa2, 0X90, 0 xe40 xb6 ;char p至】_口口 = GX16, GxOK, GxDl, GxQOV 051, 0 x02, 0 x00, 0 x00,Follov TCP SlieaMI Stream 匚口ntentchar peer0_0 = f0 x4 7, 0 x4 5 （ 0 x54, 0 x20, Oxf, Oxe, 0 x6 5, 0 x77,.02f, 070, 照69, 施必，02f, 施哈如皈了日，如图所示：这是数据包转换为16进制之后的译文，其中需要注意的是TCP协议数据是存在 发包顺序的，进行协议对比时，需要注意只有相同方向，位置相同的数据才有对比性.char peer0_0表示客户端第一个数据包，char peer0_1表示该数据为服务端第一个数据包，之后 的数据包序号均为之前数据的序号+1例如：char peer0 1或char peer1 1通过重复的进行抓包，我们需要记录的就是相同数据流相同方向的相同位置的数据之间的相 同点，端口号以及IP是否相同或者存在一定范围。（在这里我们还是强烈建议各位直接将所 有抓的数据包附上说明直接发送给我们）3、UDP类协议分析方法UDP类协议