精华内容
下载资源
问答
  • Windows安装Wireshark实现127.0.0.1抓包 简介 Wireshark(前称Ethereal)是一个网络封包分析软件。官网下载 Npcap 支持 Win7 及以上系统,基于 WinPcap 库,可以抓取通过 127.0.0.1 本地环回地址的包。官网 WinPcap ...

    Windows安装Wireshark实现127.0.0.1抓包

    简介

    Wireshark(前称Ethereal)是一个网络封包分析软件。官网下载
    Npcap 支持 Win7 及以上系统,基于 WinPcap 库,可以抓取通过 127.0.0.1 本地环回地址的包。官网
    WinPcap 是 Wireshark 默认抓包工具,据 Wireshark 和 Npcap 的官网说不再更新了。官网

    我们的系统是 Win7,原先安装的 Wireshark + WinPcap 组合不支持抓取环回地址的包,所以我们要重新选择安装 Wireshark + Npcap 的组合。

    卸载

    在这里插入图片描述

    安装Wireshark

    打开 exe 文件之后,一直选中下一步(Next),默认选项就可以了,中间会弹出安装Npcap的

    其中最后一步是询问是否要安装 USBPcap,官网,正如其名,是用来抓取 USB 口的数据的。
    我用不到,所以就没选。最后点击安装(Install)。
    在这里插入图片描述

    安装 Npcap

    在这里插入图片描述

    • 第一项:loopback_support,这部分功能现在由 Microsoft loopback Adapter 来支持,所以不需要勾选。传送门:Microsoft loopback Adapter 安装教程
    • 第二项:admin_only,勾选后权限控制,只有管理员才能使用 npcap。目前大家都是个人PC没必要勾选
    • 第三项:dot11_support,勾选后支持抓取 802.11 WiFi 包,但是也不是所有硬件和网络都支持
    • 第四项:winpcap_mode,勾选后兼容 winPcap,默认勾选。

    注意:
    如果杀毒或防护软件弹出提示,那么请允许 Npcap 的操作权限
    如果照此教程安装完 Wireshark 还不支持抓取本地环回地址的包,那你需要确认你本地是否安装过 Microsoft loopback Adapter,教程上面已经给出了,最终结果图如下:——我在windows10 20H2安装完成后没有发现这一项,依旧可以正常使用
    在这里插入图片描述

    捕获回环地址数据报

    在这里插入图片描述

    • 最重要的是要选择 Adapter for loopback traffic capture,这个能够捕捉到本地发出,本地接收的报文
    • 我这里选择过滤 port 8080,因为我本地服务器代码指定的是 8080 端口

    过滤器
    我这里仅展示了一种过滤器语法使用,想要知道更多,推荐一下这篇 传送门

    修改 Wireshark 列首选项

    关于打开 Column Preferences,你可以选择右击列,从菜单中打开。也可以选择编辑 => 首选项,展开外观 => 选择列
    在这里插入图片描述

    这里还可以编辑你关心的列
    在这里插入图片描述

    总结

    总之,你需要安装的有 Npcap,Microsoft loopback Adapter 和 Wireshark,来实现本地回环地址抓包。
    本文中没有具体展示抓包过程,不过我相信你使用 wireshark 抓本地包,一定已经是一名技术过硬的软件工程师了,你可能正在用 Go/Python/Java/C++ 中的一门语言进行网络编程。按照以上步骤操作,基本上能实现你运行代码时,底层数据的抓包要求了!祝你好运,我的朋友!


    经过个人测试,可以抓取到请求本地8080服务的包
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • Wireshark和 TcpDump抓包分析心得

    千次阅读 2016-10-19 20:08:20
    我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,因为我工作环境中的Linux一般只有字符界面,且一般而言Linux都自带的tcpdump,或者用tcpdump抓包以后用Wireshark打开分析。 在Win

    1. Wireshark与tcpdump介绍

     Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,因为我工作环境中的Linux一般只有字符界面,且一般而言Linux都自带的tcpdump,或者用tcpdump抓包以后用Wireshark打开分析。

    在Windows平台下,Wireshark通过WinPcap进行抓包,封装的很好,使用起来很方便,可以很容易的制定抓包过滤器或者显示过滤器,具体在下面介绍。Wireshark是一个免费的工具,只要google一下就能很容易找到下载的地方。

    tcpdump是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpdump抓取其他主机MAC地址的数据包,必须开启网卡混杂模式,所谓混杂模式,用最简单的语言

    展开全文
  • wireshark和tcpdum使我们平时使用的比较多的抓包工具,很多朋友不知道怎么使用,这里整理了下简单解释一下,抓包比较简单,难的是如何分析抓到的报文,并定位到具体的问题,这需要结合实践经验慢慢打磨。

    WireShark

    工具栏

    在这里插入图片描述

    过滤器

    在这里插入图片描述

    时间格式

    在这里插入图片描述

    报文层

    在这里插入图片描述

    报文标识

    在这里插入图片描述
    在这里插入图片描述

    tcpdump

    常规选项

    • -D 列举所有网卡设备如:tcpdump -D
    • -i 选择网卡设备, 不指定-i则表示抓取的是默认网卡设备
    • -c 抓取多少条报文
    • –time-stamp-precision 指定捕获时的时间精度,默认毫秒 micro,可选纳秒 nano
    • -s 指定每条报文的最大字节数,默认 262144 字节

    文件选项

    • -w 输出结果至文件(可被Wireshark读取分析)
    tcpdump -c 2 -w a #表示抓取2个报文放入a文件
    
    • -C 限制输入文件的大小,超出后以后缀加 1 等数字的形式递增。
      注意单位是 1,000,000 字节(近似1M)
    # 表示1M以后换一个文件写,最多写三个文件。
    tcpdump -C 1 -W 3 -w abc
    
    • -W 指定输出文件的最大数量,到达后会重新覆写第 1 个文件
    • -G 指定每隔N秒就重新输出至新文件,注意-w 参数应基于strftime 参数指定文件名
    # 表示每隔3s就生成一个文件,文件名为def-分钟-秒
    tcpdump -G 3 -w def%M-%S
    
    • -r 读取一个抓包文件
    • -V 将待读取的多个文件名写入一个文件中,通过读取该文件同时读取多个文件
      如:
    vim c
    a
    b
    

    使用tcpdump -V c就可以一起读取c中的a和b两个包。

    时间选项

    • -t 不显示时间戳
    • -tt 自 1970年 1 月 1 日 0 点至今的秒数
    • -ttt 显示邻近两行报文间经过的秒数
    • -tttt 带日期的完整时间
    • -ttttt 自第一个抓取的报文起经历的秒数

    详细分析选项

    • -e 显示数据链路层头部
    比如读取一个报文时,指定显示数据链路层头部

    tcpdump -r a -e
    

    • -q 不显示传输层信息
    • -v 显示网络层头部更多的信息,如 TTL、id 等
    • -n 显示 IP 地址、数字端口代替 hostname 等
    • -S TCP 信息以绝对序列号替代相对序列号
    • -A 以 ASCII 方式显示报文内容,适用 HTTP 分析
    • -x 以 16 进制方式显示报文内容,不显示数据链路层
    • -xx 以 16 进制方式显示报文内容,显示数据链路层
    • -X 同时以 16 进制及 ACII 方式显示报文内容,不显示数据链路层
    • -XX 同时以 16 进制及 ACII 方式显示报文内容,显示数据链路层

    在这里插入图片描述

    展开全文
  • 说一说这个问题的由来,一般使用wireshark不需要长时间抓包的,但是有时候遇到网络通信中非常棘手的问题,例如一个小时出现一次或者几个小时出现一次问题的情况,这种情况下就必须长时间抓包了。但是如果在wireshark...

    前言

    说一说这个问题的由来,一般使用wireshark不需要长时间抓包的,但是有时候遇到网络通信中非常棘手的问题,例如一个小时出现一次或者几个小时出现一次问题的情况,这种情况下就必须长时间抓包了。但是如果在wireshark中开始抓包之后等上几个小时肯定会出问题,因为这个时候抓包的内容都是存放在内存中的,几个小时的数据包,特别是如果涉及到音视频的数据包是很大的,几个小时可能会达到几个G的大小,这种情况下wireshark会内存溢出,程序直接异常。
    这个时候就需要使用wireshark提供的自动分文件存储的功能了。

    通过wireshark界面进行设置

    可以在wireshark的界面上进行一些设置之后再开启抓包过程,这个时候wireshark会自动根据我们指定的文件名并加上序号和时间来保存每个文件段了,具体过程如下:

    1

    选择Capture—Interfaces… 打开网络接口对话框

    1

    选择要对其进行抓包的网络设备,点击该条目后面的Options按钮

    1

    在该对话框中就可以设置使用多个文件存储抓到的数据,wireshark会根据我们指定的文件名自动指定每一段的文件名,其名字为 “指定的文件名_序号_日期时间.扩展名”,并且该对话框中可以设置各种文件分段的条件,以及停止抓包的条件,非常灵活。
    通过这种方式设置进行多文件保存数据非常方便,但是有一个问题如下:

    1

    经过长时间抓包之后发现会出现多个 “Closing file!”的对话框,在任务栏上面每一个对话框都会多出一个wireshark的图标,抓包时间越长,文件分段越多该对话框越多,最终会占满整个任务栏。并且只能通过鼠标在任务栏wireshark的图标上右键关闭。通过google搜索发现这是wireshark的一个bug,没有好的解决办法。所以推荐使用命令行的方式进行长时间抓包。

    通过命令行工具dumpcap.exe进行抓包

    在wireshark安装之后,在其安装目录下会有一个dumpcap.exe的命令行工具,实际上wireshark的界面程序也是使用这个命令行工具工作的,我们可以不需要使用界面,而直接使用该命令行工具进行抓包工作,其命令如下:

    1

    命令的含义解释如下:
    dumpcap.exe -i \Device\NPF_{845F9D1E-8F0B-4991-9F9A-C55D107A046B} -w d:\000\ddd.pcap -b filesize:50000
    dumpcap.exe在wrieshark的安装根目录就可以看到,其中:
    -i 表示指定捕获的网卡设备,这里指定的是网卡设备的标识,是一个字符串,可以在wireshark界面程序中查看,如下:

    1

    -w 表示保存的路径以及文件名,如果是分文件保存,则会自动命名为ddd_00001_20151221213115.pcap 的形式,也就是“filename_序号_时间.扩展名”。
    -b filesize:N  表示指定每个文件的大小是NKB,如上50000表示 50000 KB,也就是50M。
    通过命令行的方式抓包长时间运行没有任何问题,推荐使用这种方式。

    通过tcpdump的windows版本进行抓包

    通过dumpcap.exe命令行的方式进行抓包,可以解决文章开头提出的问题,但是dumpcap.exe该工具只有在安装wireshark之后才会有,该程序的运行也依赖wireshark安装目录下的其他的dll,如果不希望安装wireshark这么繁琐,可以选择使用tcpdump的windows版本,只有一个exe程序没有其他依赖,tcpdump.exe不是wireshark的一部分,需要单独下载,tcpdump windows版本下载地址

    1

    通过tcpdump –D 命令可以列出所有网络设备列表,注意该列表中的网络设备标识与我们在wireshark的设备属性中拷贝的设备标识有一点区别,在wireshark中拷贝的设备标识都有NPF_的前缀,因为wireshark安装的是NPF驱动,这是不一样的,所以wireshark的命令行工具dumpcap.exe使用的网络设备标识以wireshark中查看的为准,而这里的tcpdump.exe使用的网络设备标识以 tcpdump -D命令列出的为准。
    我们可以通过tcpdump –D 得出的网络设备列表每一项后面的描述信息,与我们当前使用的网络连接的描述信息比较,可以得出我们需要捕获的网络连接对应的设备标识。
    命令说明:
    tcpdump.exe -i \Device\{89515393-AC8F-4D23-9A03-AF35F9950E72} -w E:\000\test.pcap -C 2
    -i 指定要捕获的网络设备的标识。
    -w 指定保存的文件,如果分段则会自动保存为  test.pcap、test.pcap1、test.pcap2 等,这些文件都可以直接拖到wireshark中打开。
    -C 注意这里是大写,表示每一个分段文件的大小,单位是M,这里 -C 2 表示2M一个文件。

    展开全文
  • Wireshark和TcpDump抓包分析对比 常见的抓包分析工具有:微软的Network Monitor和Message Analyzer、Sniff、WSExplorer、SpyNet、iptools、WinNetCap、WinSock Expert、Wireshark和linux的tcpdump等工具 ...
  • Wireshark和 TcpDump抓包分析心得 1. Wireshark与tcpdump介绍 Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,因为我...
  • 简述burp和wireshark的简易抓包过程

    千次阅读 2021-01-26 19:54:24
    抓包 (虽然很多人会,但可看看) 是什么 抓包(packet capture)就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网络安全。抓包也经常被用来进行数据截取等。 (摘自:百度百科) ...
  • WireShark抓包使用方法

    2020-09-16 13:15:28
    三、Wireshark开始抓包示例 四、Wireshark过滤器使用 1、Wireshark过滤器设置 1)抓包过滤器 2)显示过滤器 2、wireshark过滤器表达式的规则 1)抓包过滤器语法和实例 2)显示过滤器语法和实例 五、Wireshark抓包...
  • wireshark抓包

    2019-12-30 13:59:08
    wireshark抓包新手使用教程 Wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程各种问题定位。本文主要内容包括: 1、Wireshark软件下载和安装以及...
  • 在linux上使用wireshark软件抓包命令行tshark -a . -b . -B -c -d =, -D -f -F - h -i |- -l -L -n -N -o . -p -q -r -R -s - S -t ad|a|r|d -T pdml|psml|ps|text -v -V -w |- -x -X -y -z -a 设置一个标准用来指定...
  • 一款可运行在Windows和Mac OS上的网络封包分析软件,可尽可能显示出最详细的网络封包资料,使用WinPCAP作为接口,直接与网卡进行数据报文交换,也可用于抓包 WireShark抓包流程: 1、选择相应的网卡,因为wireshark...
  • 使用hub+wireshark抓包保存为文件,然后再使用wireshark来分析。 该方法适用大多数情况。 2、tcpdump+wireshark 在linux下使用tcpdump来抓包非常方便,而且tcpdump也能简单分析。但是最方便还是用wirewhark来分析 ...
  •   ... Wireshark是一个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpdump了,因为我工作环境中的Linux一般只有字符界面,
  • wireshark抓包分析

    千次阅读 2015-06-15 15:44:19
    wireshark抓包分析 wireshark是非常流行的网络封包分析软件,功能十分强大。可以抓取各种网络包,并显示网络包的详细信息。开始界面 wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 12,088
精华内容 4,835
关键字:

wireshark指定软件抓包