抓包工具简介

网络抓包工具简介1网络抓包工具简介◆抓包工具◆Wireshark简介◆Wireshark安装◆抓包拓扑图及说明◆Wireshark使用◆数据包分析举例2抓包工具什么是抓包工具：抓包工具是拦截查看网络数据包内容的软件。常见的网络抓包工具有：★Sniffer★Wireshark★科来★OmniPeek★WinNetCap★WinSockExpert……我们公司目前一般用Wireshark和科来两个抓包工具，下面我们主要介绍Wireshak这个软件，其余的有兴趣的可以自己学习。3Wireshark简介什么是Wireshark

Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具。4Wireshark简介Wireshark的主要应用下面是Wireshark一些应用的举例：1.网络管理员用来解决网络问题2.网络安全工程师用来检测安全隐患3.开发人员用来测试协议执行情况4.用来学习网络协议等

5Wireshark简介Wireshark的特性1.支持UNIX和Windows平台2.在接口实时捕捉包3.能详细显示包的详细协议信息4.可以打开/保存捕捉的包5.可以导入导出其他捕捉程序支持的包数据格式6.可以通过多种方式过滤包7.多种方式查找包8.通过过滤以多种色彩显示包……不管怎么说，要想真正了解它的强大，需要使用它才行。6Wireshark简介捕捉多种网络接口：

Wireshark可以捕捉多种网络接口类型的包，哪怕是无线局域网接口。想了解支持的所有网络接口类型，可以在Wireshark的网站上找到.Wireshark不能做的事：1.Wireshark不是入侵检测系统。如果他/她在您的网络做了一些他/她们不被允许的奇怪的事情，Wireshark不会警告您。但是如果发生了奇怪的事情，Wireshark可能对察看发生了什么会有所帮助。2.Wireshark不会处理网络事务，它仅仅是“测量”(监视)网络。Wireshark不会发送网络包或做其它交互性的事情（名称解析除外，但您也可以禁止解析）。7Wireshark安装下面以在windows下安装为例：安装Wireshark的步骤比较简单，基本上和传统软件一样。不过需要特别注意的是Wireshark类网络嗅探软件都需要Winpcap的支持，因此还需要安装WinPcap3.1或以上版本。

启动Wireshark安装程序，该软件是英文界面的。一直点“NEXT”按钮，来Wireshark会提示自动安装Winpcap3.1或以上版本，如果本机没有安装该程序的话，我们只需要选中该组件后点“Install”按钮，然后一直到安装完成即可。8抓包拓扑图及说明开始抓包之前，我们先来了解一下常见的抓包拓扑机器注意事项，拓扑图如下：9抓包拓扑图及说明抓包说明：

抓包分为只抓LAN口包、只抓WAN口包及同时抓LAN/WAN口包三种。

抓包电脑WANPC必须指定为IP（如：192.168.1.10），记录计算机的MAC地址、IP地址。

路由器的MAC地址、WAN口IP地址、MAC地址、网关。

一定要详细记录所有电脑的MAC地址、IP地址，以及各台电脑在抓包时所进行的操作（如PC1抓包时在浏览、、等网页，PC2抓包时在聊QQ和BT下载等……）。

小技巧：在同时抓取LAN/WAN口数据包时，建议在运行抓包软件的电脑同时打开两个Wireshark，方便抓包过程中暂停观察数据包时，另一个可以持续抓包而不会导致数据包丢失。10Wireshark使用安装完毕后会在桌面出现Wireshark图标，我们直接运行他即可。

初次启动需要设置Wireshark要监视的网卡，由于很多设备都会虚拟成网卡存在于系统中，包括蓝牙，虚拟网卡等等，因此在选择时一定要选中自己的真实网卡。我们通过Wireshark主界面的“Capture（捕获）->Options（设置参数）”来选择网卡。从interface下拉菜单处找到自己机器的真实网卡，像演示的那样，下拉菜单存在四个选项，从上到下依次为虚拟拨号，虚拟网卡，蓝牙适配器网络以及自身的物理网卡。设置完毕后如果没有其他特殊设置需求直接点“Start”按钮即可开始检测网络中的数据包。11Wireshark使用示意截图：12Wireshark使用由于没有设置任何过滤信息和规则，所以Wireshark会对网络中所有数据进行检测，从捕获窗口可以看到各个不同协议数据的数量和占据总数的百分比。点“Stop”按钮停止检测后我们就可以针对每个网络数据包进行分析了，Wireshark会把刚刚捕获的所有数据包罗列出来，如果数据内容没有加密的话也可以明文显示出来。13数据包分析举例例一：检测网中是否有MSN或QQ在使用有的时候我们企业不希望员工在上班时通过MSN或QQ聊天，并针对这些IM交流软件进行了封锁，但是封锁和突破总是对立的，很多员工会找到代理工具或者其他方法来突破限制。不过不管他采用何种方法都无法逃避Wireshark的火眼金睛。我们打开Wireshark并设置好监控网卡，之后扫描网络中的数据，收集一段时间后停止捕获来查看数据包，如果网络中有MSN或者QQ在使用，Wireshark会记录这些数据通话，在protocol协议处显示为ICQ的通讯就是OICQ，而显示为MSNMS的话则说明此数据包是MSN发送接收的，并且通过具体内容我们还可以看到MSN的通话对象的邮件地址。

详见下图：

14数据包分析举例小问题：如何抓取该数据包？？？15数据包分析举例例二：按需捕获制订扫描规则如果遇到捕获后发现的数据包过多，无法分析的问题。实际上Wireshark容许我们制订过滤规则，也就是说让Wireshark只捕获我们感兴趣的数据包。在主界面选择“Capture（捕获）->Capturefilter（捕获规则）”，然后根据系统自带的过滤规则或者自己研究他的规则语句来指定适合自己的捕获规则。16数据包分析举例这里假设我们只希望针对ARP数据包来检测，来查看网络中是否有ARP病毒的存在，首先需要我们设置ARP过滤规则，然后在捕获窗口中的Capturefilter处选择制订的过滤规则ARP，最后点“Start”开始扫描。

这样Wireshark将只针对ARP数据包进行捕获，其他数据包将不进行任何记录。具体捕获详细情况我们在捕获窗口中可以一目了然。17数据包分析举例例三：使用wireshark抓取TCP连接的三次握手

打开wireshark监听后，打开浏览器，进入了百度，进行搜索。再转回来看监听，找到TCP连接过程。首先，可以从IP报文中看出是TCP协议：可以看到是我（客户）向目标地址（服务器）发出的第一次握手，seq=0，SYN=118数据包分析举例下