在火狐瀏覽器和谷歌瀏覽器中可以非常方便的調(diào)試network（抓取HTTP數(shù)據(jù)包），但是在360系列瀏覽器（兼容模式或IE標(biāo)準(zhǔn)模式）中抓取HTTP數(shù)據(jù)包就不那么那么方便了。雖然也可使用HttpAnalyzer等工，但是畢竟都是收費(fèi)軟件。只需通過合適的過濾和操作，Wireshark也可抓取HTTP請(qǐng)求和響應(yīng)。下面便說明具體操作。

假設(shè)在8080端口運(yùn)行一個(gè)HTTP服務(wù)器，本例中使用Python Flask運(yùn)行一個(gè)HTTP服務(wù)并偵聽8080端口，實(shí)現(xiàn)一個(gè)簡(jiǎn)單的加法運(yùn)算，網(wǎng)頁中通過ajax提交兩個(gè)數(shù)據(jù)，例如a=2&b=3，F(xiàn)lask處理之后返回一個(gè)json數(shù)據(jù)包，格式如{"result":5}。

1.設(shè)置過濾條件

http and ip.addr==192.168.1.106and tcp.port==8080

http：指定網(wǎng)絡(luò)協(xié)議

ip.addr==192.168.1.106：指定服務(wù)器ip地址，請(qǐng)根據(jù)實(shí)際情況替換。

tcp.port==8080，指定端口號(hào)，請(qǐng)根據(jù)實(shí)際情況替換。

點(diǎn)擊apply，點(diǎn)擊apply之后可過濾得到兩個(gè)數(shù)據(jù)包，分別是HTTP請(qǐng)求和HTTP響應(yīng)。

2.查看TCP數(shù)據(jù)流——Follow TCP Stream

在任意數(shù)據(jù)包上右擊，選擇Follow TCP Stream。該步驟可以過濾出和該HTTP數(shù)據(jù)包有關(guān)的TCP數(shù)據(jù)包，包括TCP 3次握手，TCP分片和組裝等。

最終得到HTTP請(qǐng)求和響應(yīng)

紅色背景字體為HTTP請(qǐng)求，藍(lán)色背景字體為HTTP響應(yīng)

從User-Agent中可以看出，360瀏覽器兼容模式使用了IE8內(nèi)核（該臺(tái)計(jì)算機(jī)操作系統(tǒng)為XP，IE瀏覽器版本為8），這說明360瀏覽器使用了系統(tǒng)中的IE核。

3.總結(jié)相對(duì)于火狐或谷歌瀏覽器中使用調(diào)試工具抓取HTTP數(shù)據(jù)包，使用wireshark要顯得復(fù)雜些，但是也可以達(dá)到最終效果。這些操作分為兩步，第一步設(shè)置合理的過濾條件，第二步在任意數(shù)據(jù)包中選擇Follow TCP Stream。

本文介紹了一款名為CapAnalysis的可視化數(shù)據(jù)包分析工具，它比Xplico具有更細(xì)致的分析功能。在深入理解PCAP包的基本結(jié)構(gòu)后，讓我們了解如何使用CapAnalysis進(jìn)行數(shù)據(jù)包分析。

首先，讓我們了解一下PCAP格式文件的結(jié)構(gòu)。PCAP文件包含了幀頭、幀尾、以太網(wǎng)長度、數(shù)據(jù)包頭和組成等關(guān)鍵信息。通過解析文件頭數(shù)據(jù)，我們可以獲取Magic、Major、Minor、ThisZone、SigFigs、SnapLen和LinkType等字段的詳細(xì)含義。

PCAP格式文件中的數(shù)據(jù)包包含時(shí)間戳、數(shù)據(jù)區(qū)長度、離線數(shù)據(jù)長度等信息，這為我們的分析提供了基礎(chǔ)。每個(gè)Packet數(shù)據(jù)即鏈路層的數(shù)據(jù)幀，其格式遵循標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議。

接下來，讓我們深入探討CapAnalysis工具。對(duì)于安裝，Ubuntu 10.x以上的系統(tǒng)可以使用命令行進(jìn)行安裝。除了手動(dòng)安裝外，我們還可以利用DEFT 8.0工具盤直接啟動(dòng)系統(tǒng)并進(jìn)入圖形界面。CapAnalysis的后臺(tái)使用PostgreSQL數(shù)據(jù)庫，這使其性能高于使用MySQL數(shù)據(jù)庫的工具。

在Deft 8中啟動(dòng)CapAnalysis，首先啟動(dòng)Apache服務(wù)，然后啟動(dòng)CapAnalysis服務(wù)，最后啟動(dòng)數(shù)據(jù)庫。通過訪問CapAnalysisWeb界面，我們可以獲取和激活系統(tǒng)，輸入郵箱地址并確認(rèn)，以獲取一個(gè)臨時(shí)的Key。注意，同一個(gè)IP地址不能重復(fù)申請(qǐng)Key。

在初始化系統(tǒng)后，點(diǎn)擊“New”添加分析事件名稱。使用抓包工具，如tcpdump或wireshark，抓取PCAP包。在CapAnalysis中，過濾掉無用的數(shù)據(jù)包，導(dǎo)入分析數(shù)據(jù)包。數(shù)據(jù)流會(huì)進(jìn)行累加，并記錄次序。此外，從Ossim系統(tǒng)中導(dǎo)出Snort抓到的可疑數(shù)據(jù)包，通過導(dǎo)入分析，獲得意想不到的效果。

在CapAnalysis系統(tǒng)中，用戶可以直觀地通過可視化的方式看到流量分析結(jié)果。借助?；鶊D（Sankey diagram）這種圖像表示方式，用戶可以清晰地看到網(wǎng)絡(luò)數(shù)據(jù)流量的大小。桑基圖通過延伸的分支寬度來表示流量大小，為數(shù)據(jù)的可視化分析提供了強(qiáng)大的支持。

問題一：抓包抓到的數(shù)據(jù)，怎么分析啊 5分 1,取決于你抓包的層級(jí)。一般來說都是與網(wǎng)站之間交換的，未經(jīng)格式化的較為數(shù)據(jù)。

2,可以從網(wǎng)卡抓取本機(jī)收發(fā)的數(shù)據(jù)，也有人把從瀏覽器或其它工作在頂層的軟件獲得的數(shù)據(jù)，成為抓包。

3,如果你所在的局域網(wǎng)比較原始，你還是可以嘗試從網(wǎng)卡中獲得廣播的數(shù)據(jù)。

4,分析有現(xiàn)成的軟件，主要針對(duì)無法加密的部分展開，即發(fā)送、接受方地址、時(shí)間、路徑、內(nèi)容體積等進(jìn)行。不涉及內(nèi)容的情況下是典型的被動(dòng)數(shù)據(jù)分析。

問題二：如何解析抓包的數(shù)據(jù)wireshark首先我們打開wireshark軟件的主界面，在主界面上選擇網(wǎng)卡，然后點(diǎn)擊start。wireshark即進(jìn)入抓包分析過程。在本篇我們選擇以太網(wǎng)，進(jìn)行抓包。

接下來再界面我們可以看到wireshark抓到的實(shí)時(shí)數(shù)據(jù)包。我們對(duì)數(shù)據(jù)包的各個(gè)字段進(jìn)行解釋。

1.No:代表數(shù)據(jù)包標(biāo)號(hào)。

2.Time：在軟件啟動(dòng)的多長時(shí)間內(nèi)抓到。

3.Source：來源ip。

4.Destination:目的ip。

5.Protocol：協(xié)議。

6.Length:數(shù)據(jù)包長度。

7.info：數(shù)據(jù)包信息。

接下來我們點(diǎn)擊解析后的某一條數(shù)據(jù)可以查看數(shù)據(jù)包的詳細(xì)信息。

在抓包過程中，我們可以點(diǎn)擊圖標(biāo)啟動(dòng)或者停止。來啟動(dòng)或者停止抓取數(shù)據(jù)包。

接下來我們將簡(jiǎn)單介紹Filter處，對(duì)來源Ip以及目的Ip的過濾表達(dá)式的寫法。

首先我們?cè)贔ilter處填寫ip.addr eq 192.168.2.101。表示獲取來源ip以及目的ip都是192.168.2.101的數(shù)據(jù)包。（此處解釋 eq換成==同樣的效果）

在Filter處填寫：ip.src== 192.168.2.101。表示獲取來源地址為192.168.2.101的數(shù)據(jù)包。

在Filter處填寫:ip.dst== 119.167.140.103。表示獲取目的地址為119.167.140.103的數(shù)據(jù)包。

在Filter處填寫:ip.dst== 119.167.140.103 or ip.dst== 192.168.2.45。表示獲取目的地址為119.167.140.103或者192.168.2.45的數(shù)據(jù)包。（此方法舉例主要說明or的用法。在or前后可以跟不同的表達(dá)式。）

在Filter處填寫:ip.dst== 119.167.140.103 and ip.src== 192.168.2.101。表示獲取目的地址為119.167.140.103且來源地址為192.168.2.101的數(shù)據(jù)包。（此方法舉例主要說明and的用法）

問題三：怎樣看wireshark抓包的數(shù)據(jù)啟動(dòng)wireshark后，選擇工具欄中的快捷鍵（紅色標(biāo)記的按鈕）即可Start a new live capture。

主界面上也有一個(gè)interface list（如下圖紅色標(biāo)記1），列出了系統(tǒng)中安裝的網(wǎng)卡，選擇其中一個(gè)可以接收數(shù)據(jù)的的網(wǎng)卡也可以開始抓包。

在啟動(dòng)時(shí)候也許會(huì)遇到這樣的問題：彈出一個(gè)對(duì)話框說 NPF driver沒有啟動(dòng)，無法抓包。在win7或Vista下找到C:\system\system32下的cmd.exe以管理員身份運(yùn)行，然后輸入 net start npf，啟動(dòng)NPf服務(wù)。

重新啟動(dòng)wireshark就可以抓包了。

抓包之前也可以做一些設(shè)置，如上紅色圖標(biāo)記2，點(diǎn)擊后進(jìn)入設(shè)置對(duì)話框，具體設(shè)置如下：

Interface：指定在哪個(gè)接口（網(wǎng)卡）上抓包（系統(tǒng)會(huì)自動(dòng)選擇一塊網(wǎng)卡）。

Limit each packet：限制每個(gè)包的大小，缺省情況不限制。

Capture packets in promiscuous mode：是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。

Filter：過濾器。只抓取滿足過濾規(guī)則的包。

File：可輸入文件名稱將抓到的包寫到指定的文件中。

Use ring buffer：是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。循環(huán)緩沖只有在寫文件的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時(shí)回卷。

Update list of packets in real time：如果復(fù)選框被選中，可以使每個(gè)數(shù)據(jù)包在被截獲時(shí)就實(shí)時(shí)顯示出來，而不是在嗅探過程結(jié)束之后才顯示所有截獲的數(shù)據(jù)包。

單擊“OK”按鈕開始抓包，系統(tǒng)顯示出接收的不同數(shù)據(jù)包的統(tǒng)計(jì)信息，單擊“Stop”按鈕停止抓包后，所抓包的分析結(jié)果顯示在面板中，如下圖所示：

為了使抓取的包更有針對(duì)性，在抓包之前，開啟了QQ的視頻聊天，因?yàn)镼Q視頻所使用的是UDP協(xié)議，所以抓取的包大部分是采用UDP協(xié)議的包。

3、對(duì)抓包結(jié)果的說明

wireshark的抓包結(jié)果整個(gè)窗口被分成三部分：最上面為數(shù)據(jù)包列表，用來顯示截獲的每個(gè)數(shù)據(jù)包的總結(jié)性信息；中間為協(xié)議樹，用來顯示選定的數(shù)據(jù)包所屬的協(xié)議信息；最下邊是以十六進(jìn)制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時(shí)的最終形式。

使用wireshark可以很方便地對(duì)截獲的數(shù)據(jù)包進(jìn)行分析，包括該數(shù)據(jù)包的源地址、目的地址、所屬協(xié)議等。

上圖的數(shù)據(jù)包列表中，第一列是編號(hào)（如第1個(gè)包），第二列是截取時(shí)間（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是這個(gè)包使用的協(xié)議（這里是UDP協(xié)議），第六列info是一些其它的信息，包括源端口號(hào)和目的端口號(hào)（源端口：58459，目的端口：54062）。

中間的是協(xié)議樹，如下圖：

通過此協(xié)議樹可以得到被截獲數(shù)據(jù)包的更多信息，如主機(jī)的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口號(hào)（user datagram protocol）以及UDP協(xié)議的具體內(nèi)容（data）。

最下面是以十六進(jìn)制顯示的數(shù)據(jù)包的具體內(nèi)容，如圖：

這是被截獲的數(shù)據(jù)包在物理媒體上傳輸時(shí)的最終形式，當(dāng)在協(xié)議樹中選中某行時(shí)，與其對(duì)應(yīng)的十六進(jìn)制代碼同樣會(huì)被選中，這樣就可以很方便的對(duì)各種協(xié)議的數(shù)據(jù)包進(jìn)行分析。

4、......>>

問題四：如何分析數(shù)據(jù)包判斷網(wǎng)絡(luò)故障從網(wǎng)絡(luò)抓包是可以分析出很多東西，其中一項(xiàng)就是用來做排錯(cuò)。

根據(jù)個(gè)人的實(shí)際經(jīng)驗(yàn)，用抓包來排錯(cuò)有分為幾種情況：

1、通過數(shù)據(jù)包的有無來判斷故障，一般用于防火墻策略調(diào)試等場(chǎng)景，在防火墻上進(jìn)行抓包，或交換機(jī)上鏡像抓包，或者這交換機(jī)內(nèi)嵌抓包功能。這種抓包無需進(jìn)行過多分析。

2、網(wǎng)絡(luò)故障，已經(jīng)明確網(wǎng)絡(luò)設(shè)備配置不存在問題的情況下，通過抓包來判斷問題，我把這主要分為行為判斷和協(xié)議判斷。

1）最常見的是通過抓包數(shù)量來判定網(wǎng)絡(luò)行為的是否正常，比如ARP病毒爆發(fā)一定會(huì)收到大量ARP數(shù)據(jù)包；攻擊行為也很多時(shí)候體現(xiàn)為大量數(shù)據(jù)包（但是一般判斷這種攻擊行為抓包不會(huì)放在第一步，只是在確定攻擊特征時(shí)需要抓包）；當(dāng)然還有其他很多情況，適用于通過抓包數(shù)量來分析的。

2）通信質(zhì)量判斷，抓包存在大量的重傳，此時(shí)通信質(zhì)量一般都不太好。另外有視頻和語音的應(yīng)用場(chǎng)景中，有時(shí)需要通過時(shí)間統(tǒng)計(jì)來判斷通信毛刺，來分析定位視頻和語音通信質(zhì)量問題。

3）協(xié)議判斷，比如win2008和win2003通信時(shí)因?yàn)閣indow

scale不兼容，導(dǎo)致窗口過小，而程序設(shè)計(jì)適當(dāng)時(shí)，通信變動(dòng)極其緩慢。這些判斷都是建立在抓包協(xié)議分析的基礎(chǔ)上的；另外不同廠商SIP通信對(duì)接也有可能會(huì)用到協(xié)議分析，其中一種方式就是抓包分析。

綜合而言，協(xié)議分析時(shí)要求比較高，很多人都可以說把基礎(chǔ)學(xué)好，但是對(duì)應(yīng)實(shí)際工作多年的人，TCP/IP的協(xié)議學(xué)習(xí)一般都是多年前的事情，而且不同操作系統(tǒng)，對(duì)于協(xié)議棧的實(shí)現(xiàn)是有區(qū)別的，這部分析的工作一般都是出現(xiàn)問題后有針對(duì)性查資料來解決的。

說了這么多，針對(duì)抓包分析我個(gè)人的意見是：排查問題關(guān)鍵是思路，真的用到協(xié)議層判斷的場(chǎng)景相對(duì)而言還是比較少，初學(xué)這不必過分糾結(jié)。但是從另外一個(gè)方面來看，能深入?yún)f(xié)議層進(jìn)行排錯(cuò)的網(wǎng)工，都是具備鉆研精神的，屬于高級(jí)排錯(cuò)的一部分。

問題五：怎么通過wireshark分析 Wireshark一般在抓包的時(shí)候無需過濾，直接在數(shù)據(jù)分析時(shí)候過濾出來你想要的數(shù)據(jù)就成了。

1.具體為Capture->Interface->(選擇你的網(wǎng)卡)start

這時(shí)候數(shù)據(jù)界面就顯示了當(dāng)前網(wǎng)卡的所有數(shù)據(jù)和協(xié)議了。

2.下來就是找到我們想要的數(shù)據(jù)

教你一些技巧，比如我們要找ip地址為192.168.2.110的交互數(shù)據(jù)

可以在 Filter:里面填寫 ip.addr== 192.168.2.110（回車或者點(diǎn)Apply就OK）

如果我們只想抓TCP的 ip.addr== 192.168.2.110&& tcp(注意要小寫)

如果不想看到ACK ip.addr== 192.168.2.110&& tcp&& tcp.len!= 0

如果要看數(shù)據(jù)包中含有5252的值的數(shù)據(jù)（注意此處為16進(jìn)制）

ip.addr== 192.168.2.110&& tcp&& tcp.len!= 0&&(data.data contains 5252)

3.含有很多過濾方法可以點(diǎn)擊Express，里面有一些選項(xiàng)，自己多試試。

用好一個(gè)工具很重要，但要長期的積累才行，自己多使用，多看點(diǎn)教程就OK。

問題六：wireshark軟件抓包數(shù)據(jù)怎么查看下載wireshark軟件，目前有中文版，為了方便演示，就用中文版的。當(dāng)然，英文版本的是主流。

打開wireshark軟件，運(yùn)行該軟件，進(jìn)入其界面。wireshark軟件的界面布局合理，很精簡(jiǎn)。

接下來，要選擇wireshark的抓包接口。雙擊接口列表項(xiàng)，于是進(jìn)入了抓包接口的設(shè)置界面。

選擇你的電腦現(xiàn)在所使用的網(wǎng)卡。比如，現(xiàn)在這里是使用無線網(wǎng)卡，接口列表上有數(shù)字在跳動(dòng)就是。

點(diǎn)擊開始，就進(jìn)入到抓包的界面，于是開始進(jìn)行抓包。該界面顯示了抓包的動(dòng)態(tài)，記錄了抓包的過程。

抓包完成后，就點(diǎn)擊停止抓包的按鈕，就是紅色打叉的那個(gè)。

最后選擇保存按鈕，選擇保存的位置。保存的文件以后都可以用wireshark打開，來進(jìn)行歷史性的分析。

問題七：如何查看抓包數(shù)據(jù)對(duì)于標(biāo)準(zhǔn)的Http返回，如果標(biāo)明了Content-Encoding:Gzip的返回，在wireshark中能夠直接查看原文。由于在移動(dòng)網(wǎng)絡(luò)開發(fā)中，一些移動(dòng)網(wǎng)關(guān)會(huì)解壓顯式標(biāo)明Gzip的數(shù)據(jù)，以防止手機(jī)瀏覽器得到不能夠解壓的Gzip內(nèi)容，所以，很多移動(dòng)開發(fā)者選擇了不標(biāo)準(zhǔn)的Http頭部。也就是說，Http返回頭部并沒有按標(biāo)準(zhǔn)標(biāo)Content-Encoding:Gzip屬性。這樣就導(dǎo)致在wireshark中無法直接查看。

這時(shí)，將抓包得到的數(shù)據(jù)以raw形式存為文件，再使用UE以16進(jìn)制查看，去掉文件中非Gzip壓縮的數(shù)據(jù)，就可以將文件用Gzip解壓工具解壓后查看原文了。Gzip數(shù)據(jù)以1F8B開頭，可以以此來劃分文件中的Gzip和非Gzip數(shù)據(jù)。

問題八：如何利用網(wǎng)絡(luò)抓包工具得到的數(shù)據(jù)怎么解析tcp/ip Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。在終端使用者的電腦上使用telnet程序，用它連接到服務(wù)器。終端使用者可以在telnet程序中輸入命令，這些命令會(huì)在服務(wù)器上運(yùn)行，就像直接在服務(wù)器的控制臺(tái)上輸入一樣?？梢栽诒镜鼐湍芸刂品?wù)器。要開始一個(gè)telnet會(huì)話，必須輸入用戶名和密碼來登錄服務(wù)器。Telnet是常用的遠(yuǎn)程控制Web服務(wù)器的方法。

一.準(zhǔn)備工作

虛擬機(jī)Virtual Box(Telnet服務(wù)端)

--安裝Windows XP SP3操作系統(tǒng)

------開啟了Telnet服務(wù)

------添加了一個(gè)賬戶用于遠(yuǎn)程登錄,用戶名和密碼都是micooz

宿主機(jī)Windows 8.1 Pro(Telnet客戶端)

--安裝了分析工具Wireshark1.11.2

--安裝了Telnet客戶端程序

PS:虛擬機(jī)網(wǎng)卡選用橋接模式

問題九：wireshark軟件抓包數(shù)據(jù)怎么查看 wireshark是捕獲機(jī)器上的某一塊網(wǎng)卡的網(wǎng)絡(luò)包，當(dāng)你的機(jī)器上有多塊網(wǎng)卡的時(shí)候，你需要選擇一個(gè)網(wǎng)卡。

點(diǎn)擊Caputre->Interfaces..出現(xiàn)下面對(duì)話框，選擇正確的網(wǎng)卡。然后點(diǎn)擊Start按鈕,開始抓包

WireShark主要分為這幾個(gè)界面

1. Display Filter(顯示過濾器)，用于過濾

2. Packet List Pane(封包列表)，顯示捕獲到的封包，有源地址和目標(biāo)地址，端口號(hào)。顏色不同，代表

3. Packet Details Pane(封包詳細(xì)信息),顯示封包中的字段

4. Dissector Pane(16進(jìn)制數(shù)據(jù))

5. Miscellanous(地址欄，雜項(xiàng))

問題十：wireshark完成抓包后，怎么分析你直接抓會(huì)有大量大量無用的干擾包（比如你的ARP請(qǐng)求，你電腦的其他軟件的后臺(tái)更新等等），建議你做個(gè)過濾器，只抓取你本機(jī)到新浪的會(huì)話（或者只抓取HTTP協(xié)議），然后所得的數(shù)據(jù)包都是你想要的，這整個(gè)包就是從你發(fā)起訪問到新浪服務(wù)器回復(fù)給你的數(shù)據(jù)包