用winpcap捕获数据包，如何找出对应的进程

主要代巧返衫码：

/* 回调函数，用来处理数据包 */

void packet_handler(u_char *dumpfile, const struct pcap_pkthdr *header, const u_char *pkt_data)

{

/* 保存数据包到堆文件 */

pcap_dump(dumpfile, header, pkt_data)

}

然后用wireshark 这款孝腔软件，打开文件你保存抓包信世纳息的文件，查看你抓到的包

Wireshark（前称Ethereal）是一个网络封包分析软件。

抓包是对整个网卡而言的，无法对相应的应用程序进行抓包，但你可以通过分析你的程序进行过滤，比如我要抓浏段谨览器的包，在抓好的包里进行 HTTP

过滤就可以看到类似的，再根据自己的请求判断自己抓的哪个包，当然也可以用360，qq的大师什么的，监控这个程序所使用的TCP流，找到再

wireshark 包里过滤即可。

尽可能的关闭其他的应用程序，先打开wireshark工具，选定当前的网卡开始，点击开始抓包，然后在打开浏览器，输入地址，进行访问 *** 作，wireshark会自动将来往数据抓下来，过后你保存分析就行了。

下面的图是我访问百度时的一些数据握绝基包宏庆，包含tcp会话建立的时候的情况，但是在包里面没有抓取的FIN的数据包。网页挺难抓到的，貌似有个hold time。tcp会话不会立刻中断。