网络抓包工具怎么用?

网络抓包工具怎么用

点开用 会抓取你电脑经过网卡的数据包 分为 tcp udp ip arp 的数据包 然后自己分析

怎么用网络抓包工具最好是有 流程的

如果需要专业一点请用

ethereal（英文）不是超简单

sniffer （有中文汉化的）也不错，有许多人说是最强的，但我还是认为ethereal最简单好用

抓包工具wireshark怎么用

这里有教程,一看就懂blogjobbole/70907/

抓包工具是干什么的？如何使用

抓数据包的，可以用来分析网络流量，可以用来破译抓来的数据，比如密码之类的。网上应该有相关教程，自己研究

如何使用抓包工具？为什么要抓包

抓包主要抓取流量，用于分析，如网络诊断、流量分析等等 可以试试基于进程抓包QPA工具

如何用抓包工具分析出有用的网络数据 5分

这些内容都是加密的，抓包是分析不出来的！！

如何使用抓包工具

开始界面

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包

Wireshark 窗口介绍

WireShark 主要分为这几个界面

1 Display Filter(显示过滤器)， 用于过滤

2 Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表

3 Packet Details Pane(封包详细信息), 显示封包中的字段

4 Dissector Pane(16进制数据)

5 Miscellanous(地址栏，杂项)

使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种，

一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录

一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置

保存过滤

在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",

网络上的抓包工具有什么用

Ethereal 不错,而且很小!

什么网络抓包工具好用

solarwinds

wireshark

sniffer pro

如何利用网络抓包工具得到的数据怎么解析tcp/ip

Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。

一 准备工作

虚拟机Virtual Box(Telnet服务端)

--安装Windows XP SP3 *** 作系统

------开启了Telnet服务

------添加了一个账户用于远程登录,用户名和密码都是micooz

宿主机Windows 81 Pro(Telnet客户端)

--安装了分析工具Wireshark1112

--安装了Telnet客户端程序

PS:虚拟机网卡选用桥接模式

抓包使用的是WireShark267，抓包内容为 https://tls13cryptomozillaorg/ （Mozilla的TLS13测试页面），浏览器为chrome（需开启TLS13），这里我先给出抓包结果：

后面是扩展部分的分析，每个扩展一般都包含类型（Type）、长度（Length）和数据（Data）三个部分。

问题一：被抓包是什么意思 就是你在做“坏事”的时候现场给逮住发现了。。。。。。

问题二：什么是抓包工具 你是网络管理员吗？你是不是有过这样的经历：在某一天的早上你突然发抚网络性能急剧下降，网络服务不能正常提供，服务器访问速度极慢甚至不能访问，网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。

这是什么问题？设备坏了吗？不可能几台设备同时出问题。一定是有什么大流量的数据文件，耗尽了网络设备的资源，它们是什么？怎么看到它们？这时有经验的网管人员会想到用局域网抓包工具来分析一下。

你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭著的网络杀手。就是它们制造了上述种种恶行。它们来势汹汹，阻塞网络、感染主机，让网络管理员苦不堪言。当网络病毒出现时，如何才能及时发现染毒主机？下面我根据网络病毒都有扫描网络地址的特点，给大家介绍一个很实用的方法：用抓包工具寻找病毒源。

1．安装抓包工具。目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet312 的抓包工具，非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型，比如是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。

2．配置网络路由。你的路由器有缺省网关吗？如果有，指向了哪里？在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的（除非你想搞瘫这台路由器）。在一些企业网里往往仅指出网内地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主机上吧（它不下地狱谁下地狱？当然这台主机的性能最好是高一点的，否则很容易被病毒冲击而亡）。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上，所有对外访问的网络包都会被分析到。

3．开始抓包。抓包主机已经设置好了，网络里的数据包也已经送过来了，那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来，这些就是被捕获的数据包（如图）。

图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10322071的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。

4找出染毒主机。从抓包的情况看，主机10322071值得怀疑。首先我们看一下目的IP地址，这些地址我们网络里存在吗？很可能网络里根本就没有这些网段。其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台10322071的主机肯定有问题。再了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机 *** 作系统打补丁杀病毒了。

既然抓到了病毒包，我们看一下这个数据包二进制的解码内容：

这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息，紧跟着的2字节指出了数据包的类型，0800代表的是IP包格式，0806代表ARP包格式。接着的20个字节是封装的IP包头，包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头，包括了源、目的端口，TCP链接的状态信息等。这就构成了一个6>>

问题三：什么是数据抓包 其实是这样的，比如你在局域网或是网吧等等这些地方，如果你发邮件或是发信息到局域网外部去的时候，管理员可以通过一些软件或是硬件来得到这些信息就是把你的数据包给抓下来（什么是数据包知道吧就是啊信息啊，都是通过网转数福23这样的数据来发出去的，123这些鸟东东就叫做数据包）

问题四：抓包是什么什么人用的 在互联网中传播的信息都是数据都以打包的方式发送，抓包就是抓的这个，每个数据包中都会有一些信息，抓的人无非就是两种黑客和网络管理员！！！！

问题五：抓包是什么意思？ 10分 包指的是数据传输的数据包 抓包就是提取其中的数据包查看

问题六：抓包和封包简单的区别是什么 抓包是为了封包,封包是为了发出去之后再次抓包。

答题不易，互相理解，您的采纳是我前进的动力

如果我的回答没能帮助您，请继续追问

您也可以向我们团队发出请求，会有更专业的人来为您解答

问题七：抓包是什么意思？ 抓包（packet capture）就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等 *** 作，也用来检查网络安全。抓包也经常被用来进行数据截取等。

问题八：这是什么抓包工具？？ 20分 信息太少，像是浏览器的调试工具

抓包工具，可以试试基于进程抓包QPA工具

问题九：被抓包是什么意思 就是你在做“坏事”的时候现场给逮住发现了。。。。。。

问题十：抓包和封包简单的区别是什么 抓包是为了封包,封包是为了发出去之后再次抓包。

答题不易，互相理解，您的采纳是我前进的动力

如果我的回答没能帮助您，请继续追问

您也可以向我们团队发出请求，会有更专业的人来为您解答

WireShark概览

1、Wireshark 是网络报文分析工具。网络报文分析工具的主要作用是尝试捕获网络报文， 并尝试显示报文尽可能详细的内容。过去的此类工具要么太贵，要么是非公开的。 直到Wireshark（Ethereal）出现以后，这种情况才得以改变。Wireshark可以算得上是今天能使用的最好的开源网络分析软件。2、WireShark简史：1997年，Gerald Combs 需要一个工具追踪网络问题，并且想学习网络知识。所以他开始开发Ethereal (Wireshark项目以前的名称) 以解决自己的需求。1998年，Ethreal020版诞生了。此后不久，越来越多的人发现了它的潜力，并为其提供了底层分析。2006年Ethreal改名为Wireshark。2008年，在经过了十年的发展后，Wireshark发布了10版本。3、WireShark的主要作用，就是可以抓取各种端口的报文，包括有线网口、无线网口、USB口、LoopBack口等等，从而就可以很方便地进行协议学习、网络分析、系统排错等后续任务。4、不同平台下的WireShark：目前WireShark支持几乎所有主流报文文件，包括pcap，cap ，pkt，enc等等。但是不同平台下的WireShark却有功能上的不同。总体来说，Linux版本WireShark的功能和特性比Windows版本的要丰富和强大。例如，Linux版本的WireShark可以直接抓取USB接口报文，而Windows版本就不行。

Figure 1，Linux下的WireShark

Figure 2，Windows下WireShark

Figure 3，各平台下的WireShark所支持的协议

各平台下的WireShark支持的协议如上图所示。从图中可以看到Linux下的版本功能最强大，由于平台本身特性，可以使WireShark几乎支持所有协议。但由于我们平时工作中主要抓取以太网报文，且绝大部分的 *** 作系统都是Windows，所以本文还是以Windows平台下的WireShark为例来进行说明。

如何正确使用WireShark抓取报文

1、WireShark组网拓扑。为了抓到HostA与HostB之间的报文，下面介绍几种WireShark组网。

i在线抓取：如果WireShark本身就是组网中的一部分，那么，很简单，直接抓取报文就行了。

ii 串联抓取：串联组网是在报文链路中间串联一个设备，利用这个中间设备来抓取报文。这个中间设备可以是一个HUB，利用HUB会对域内报文进行广播的特性，接在HUB上的WireShark也能收到报文。

若是WireShark有双网卡，正确设置网络转发，直接串接在链路上。

也可以利用Tap分路器对来去的报文进行分路，把报文引到WireShark上。

串联组网的好处是报文都必须经过中间设备，所有包都能抓到。缺点是除非原本就已经规划好，不然要把报文链路断开，插入一个中间设备，会中断流量，所以一般用于学习研究，不适用于实际业务网以及工业现场以太网。

iii 并联抓取：并联组网是将现有流量通过现网设备本身的特性将流量引出来。

若是网络本身通过HUB组网的，那么将WireShark连上HUB就可以。

若是交换机组网，那直接连上也能抓取广播报文。

当然，最常用的还是利用交换机的镜像功能来抓包。

并联组网的优点是不用破坏现有组网，适合有业务的在线网络以及工业现场以太网。缺点是HUB组网已经不常见，而交换机组网的设备开启镜像后，对性能有非常大的影响。

2、 WireShark的安装。WireShark是免费开源软件，在网上可以很轻松获取到。Windows版的WireShark分为32位而64位两个版本，根据系统的情况来决定安装哪一个版本，虽然64位系统装32位软件也能使用，但装相应匹配的版本，兼容性及性能都会好一些。在Windows下，WireShark的底层抓包工具是Winpcap，一般来说WireShark安装包内本身就包含了对应可用版本的Winpcap，在安装的时候注意钩选安装就可以。安装过程很简单，不再赘述。

3、使用WireShark抓取网络报文。Step1 选择需要抓取的接口，点选Start就开始抓包。

4、使用WireShark抓取MPLS报文。对于mpls报文，wireshark可以直接抓取带MPLS标签的报文。

5、使用WireShark抓取带Vlan Tag的报文。早期网卡的驱动不会对VLAN TAG进行处理，而是直接送给上层处理，在这种环境下，WireShark可以正常抓到带VLAN TAG的报文。而Intel，broadcom，marvell的网卡则会对报文进行处理，去掉TAG后再送到上层处理，所以WireShark在这种情况下通常抓不到VLAN TAG。这时我们需要针对这些网卡做一些设置，WireShark才能够抓取带VLAN TAG的报文。1） 更新网卡的最新驱动。2） 按照以下说明修改注册表：a) Intel：HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318} \00xx（where xx is the instance of the network adapter that you need to see tags on ）PCI或者PCI-X网卡增加dword:MonitorModeEnabled，通常设置为1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 8021Q vlan tags) 1 - enabled (Store bad packets Store CRCs Do not strip 8021Q vlan tags) PCI-Express网卡增加dword:MonitorMode，通常设置为1即可 0 - disabled (Do not store bad packets, Do not store CRCs, Strip 8021Q vlan tags) 1 - enabled (Store bad packets Store CRCs Do not strip 8021Q vlan btag) 2 - enabled strip vlan (Store bad packets Store CRCs Strip 8021Q vlan tag as normal)；b) Broadcom：在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet下搜索，找到"TxCoalescingTicks"并确认这是唯一的，增加一个新的字符串值"PreserveVlanInfoInRxPacket"，赋值1。c) Marvell Yukon 88E8055 PCI-E 千兆网卡："HKLM\SYSTEM \CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318} \000"（where 000 is the number of the folder for the Marvel ethernet controller）增加DWORD：SkDisableVlanStrip：1；3） 以Intel网卡为例，对网卡进行配置。选择Intel网卡的本地连接，右键属性

点击“配置”按钮。

在VLAN选项卡中，加入任意一个VLAN，激活接口的VLAN TAG上送功能。此时可以把“本地连接”接口看成是一个Trunk接口。

配置完VLAN后，如果发现系统禁用了“本地连接”接口，则只要启用它，会看到网络连接中会出现一个新的子接口“本地连接2”。

在WireShark上查看抓取“本地连接”接口的报文。

可以看到已经可以抓到有VLAN TAG的报文了。

由于此时的子接口都是有VLAN属性的，所以无法当成正常的网卡来用。如果想要在抓VLAN包的同时，还能够与网络正常通信，只要再新建一个未标记的VLAN就行。

这时，会生成一个对应的子接口“本地连接3”，在这个接口上正确配置网络参数，就可以正常通信了。