如何抓包電腦傳輸數據

❶ 抓包視頻教程

1、打開wireshark 2.6.5，主界面如下：

4、執行需要抓包的操作，如在cmd窗口下執行ping www..com。

5、操作完成後相關數據包就抓取到了。為避免其他無用的數據包影響分析，可以通過在過濾欄設置過濾條件進行數據包列表過濾，獲取結果如下。說明：ip.addr == 119.75.217.26 and icmp 表示只顯示ICPM協議且源主機IP或者目的主機IP為119.75.217.26的數據包。說明：協議名稱icmp要小寫。

5、wireshark抓包完成，就這么簡單。關於wireshark顯示過濾條件、抓包過濾條件、以及如何查看數據包中的詳細內容在後面介紹。

Wireshakr抓包界面介紹

說明：數據包列表區中不同的協議使用了不同的顏色區分。協議顏色標識定位在菜單欄View --> Coloring Rules。如下所示

WireShark 主要分為這幾個界面

1. Display Filter(顯示過濾器)， 用於設置過濾條件進行數據包列表過濾。菜單路徑：Analyze -->Display Filters。

2. Packet List Pane(數據包列表)， 顯示捕獲到的數據包，每個數據包包含編號，時間戳，源地址，目標地址，協議，長度，以及數據包信息。 不同協議的數據包使用了不同的顏色區分顯示。

3. Packet Details Pane(數據包詳細信息), 在數據包列表中選擇指定數據包，在數據包詳細信息中會顯示數據包的所有詳細信息內容。數據包詳細信息面板是最重要的，用來查看協議中的每一個欄位。各行信息分別為

（1）Frame:物理層的數據幀概況

（2）EthernetII:數據鏈路層乙太網幀頭部信息

（3）Internet Protocol Version 4:互聯網層IP包頭部信息

（4）Transmission Control Protocol:傳輸層T的數據段頭部信息，此處是TCP

（5）Hypertext Transfer Protocol:應用層的信息，此處是HTTP協議

TCP包的具體內容

從下圖可以看到wireshark捕獲到的TCP包中的每個欄位。

4. Dissector Pane(數據包位元組區)。

Wireshark過濾器設置

初學者使用wireshark時，將會得到大量的冗餘數據包列表，以至於很難找到自己需要抓取的數據包部分。隱友wireshark工具中自帶了兩種類型的過濾器，學會使用這兩種過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

（1）抓包過濾器

捕獲過濾器的菜單欄路徑為Capture --> Capture Filters。用於在抓取數據包前設置。

如何使用？可以在抓取數據包前設置如下。

ip host 60.207.246.216 and icmp表示只捕獲主機IP為60.207.246.216的ICMP數據包。獲取結果如下：

（2）顯示過濾器

顯示過濾器是用於在抓取數據包後設置過濾條件進行過濾數據包。通常是在抓取數據包時設置條件相對寬泛或者沒有設置導致抓取的數據包內容較多時使用顯示過濾器設置條件過濾以方便分析。同樣上述場景，在捕獲時未設置抓包過濾規則直接通過網卡進行抓取所有數據包，如下

執行ping www.huawei.com獲取的數據包列表如下

觀察上述獲取的數據包列表，含有大量的無效數據。這時可以通過設置顯示器過濾條件進行提取分析信息。ip.addr == 211.162.2.183 and icmp。並進行過濾。

上述介紹了抓包過濾器和顯示過濾器的基本雹猜使用方法。在組網不復雜或者流量不大情況下，使用顯示器過濾器進行抓包後處理就可以滿足我們使用。下面介紹一下兩者間的語法以及它們的區別。

wireshark過濾器表達式的規則

1、抓包過濾器語法和實例

抓包過濾器類型Type（host、net、port）、方向Dir（src、dst）、協議Proto（ether、ip、tcp、udp、http、icmp、ftp等）、邏輯運算符（&& 與灶肆槐、|| 或、！非）

（1）協議過濾

比較簡單，直接在抓包過濾框中直接輸入協議名即可。

tcp，只顯示TCP協議的數據包列表

http，只查看HTTP協議的數據包列表

icmp，只顯示ICMP協議的數據包列表

（2）IP過濾

host 192.168.1.104

src host192.168.1.104

dst host192.168.1.104

（3）埠過濾

port 80

src port 80

dst port 80

（4）邏輯運算符&& 與、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主機地址為192.168.1.80、目的埠為80的數據包 host 192.168.1.104 || host 192.168.1.102 抓取主機為192.168.1.104或者192.168.1.102的數據包

！broadcast 不抓取廣播數據包

2、顯示過濾器語法和實例

（1）比較操作符

比較操作符有== 等於、！= 不等於、> 大於、< 小於、>= 大於等於、<=小於等於。

（2）協議過濾

比較簡單，直接在Filter框中直接輸入協議名即可。注意：協議名稱需要輸入小寫。

tcp，只顯示TCP協議的數據包列表

http，只查看HTTP協議的數據包列表

icmp，只顯示ICMP協議的數據包列表

（3） ip過濾

ip.src ==192.168.1.104 顯示源地址為192.168.1.104的數據包列表

ip.dst==192.168.1.104, 顯示目標地址為192.168.1.104的數據包列表

ip.addr == 192.168.1.104 顯示源IP地址或目標IP地址為192.168.1.104的數據包列表

（4）埠過濾

tcp.port ==80, 顯示源主機或者目的主機埠為80的數據包列表。

tcp.srcport == 80, 只顯示TCP協議的源主機埠為80的數據包列表。

tcp.dstport == 80，只顯示TCP協議的目的主機埠為80的數據包列表。

（5） Http模式過濾

http.request.method=="GET", 只顯示HTTP GET方法的。

（6）邏輯運算符為 and/or/not

過濾多個條件組合時，使用and/or。比如獲取IP地址為192.168.1.104的ICMP數據包表達式為ip.addr == 192.168.1.104 and icmp

（7）按照數據包內容過濾。假設我要以IMCP層中的內容進行過濾，可以單擊選中界面中的碼流，在下方進行選中數據。如下

右鍵單擊選中後出現如下界面

選中Select後在過濾器中顯示如下

後面條件表達式就需要自己填寫。如下我想過濾出data數據包中包含"abcd"內容的數據流。包含的關鍵詞是contains 後面跟上內容。

看到這， 基本上對wireshak有了初步了解

❷ 電腦是怎麼抓包的

抓包，就是通過軟體，檢測網卡所流通的數據。

數據並不是像水一樣不停的傳輸的，而是分成一個包一個包的，每個數據包都有包頭，包頭內記錄著發送方的ip 埠 接受方的ip 埠 以及數據包所使用的協議等等。

包頭之後，才是我們要傳輸的數據，分析軟體就會將數據包由10組成的二進制流翻譯為我們可以看懂的東西。

像sniffer這種強大的軟體，可以直接將圖片都顯示出來。網管必備，在他檢測下，他所在網路內的網路活動都可以被檢測到。

但是隨著保密意識的增加，很多網路活動都加密了。幾個沖譽月前的網路知道登陸是不用加密，如果我用檢測軟體檢測你的電腦，我抓包，就有可能抓到你的賬號密碼，現在不能了，已經加密了，我抓到也只是亂碼。

(2)如何抓包電腦傳輸數據擴展閱讀：

抓包工具

抓包工具是攔截查看網路數據包內容的軟體。通過對抓獲的數據包進行分析，可以得到有用的信息。

目前流行的抓包散或段工具有很多，比較出名的有wireshark、sniffer。httpwatch、iptool等。這些抓包工具功能各異，但基本原理相同。

我們的計算機通過向網路上傳和從網路下載一些數據包來實現數據在網路中的傳播。通常這些數據包會由發出或者接受的軟體自行處理，普通用戶並不過問，這些數據包一般也不會一直保存在用戶的計算機上。

抓包工具可以幫助我們將這些數據包保存下來，如果這些數據包是以明文形式進行傳送或者我們能夠知道其加密方法，那麼我們就可以分析出這些數據包的內容以及它們的團早用途。

目前抓包工具更多的用於網路安全，比如查找感染病毒的計算機。有時也用於獲取網頁的源代碼，以及了解攻擊者所用方法、追查攻擊者的ip地址等。

❸ 需要搞清楚的關於抓包的問題

不同主機之間的數據通信都是通過網路來進行傳輸，對那些在網路上傳輸的數據（發送、請求的數據）進行截獲、編輯、轉存等操作叫做抓包。抓包可以是抓取電腦端請求的數據，還可以抓取移動端（手機APP）的數據包。

通過對網路上傳輸的數據進行抓取，可以對其進行分析，對於軟體的Debug很大的幫助。當然也可以通過抓取用戶發送的涉及用戶名和密碼的數據包來獲取用戶的密碼。

一般情況下，數據按照各種網路協議按照一定的格式在網路上進行傳輸，網路上傳輸的數據是以幀為單位，在對需要發送的數據進行包裝的畝唯指時候，會把數據的接收方、發送的的地址（MAC地址、IP地址等）一起進行包裝並進行發送。根據發送方和接收方的地址，會有一條數據包的傳輸路徑，在這條路徑上，發送的數據包，會經過網路上很多台主機，標準的TCP/IP協議是這樣處理的：當有數據經過主機時，主機會通過存放在數據包裡面的地址來進行判斷，這個數據包是否是發送自己的，如果不是發給自己的，主機就不會對它進行解析，簡單的進行丟棄（轉發）。如果是發送給自己的，那麼主機就會對其進行解析和存儲。

如果想要存儲那些不是發送給自己的數據包，可以把網路適配卡設置為雜亂模式。這樣它就會接收經過它的每一個數據包了。

目前主流的移動端迅配抓包工具為：TcpDump、WireShark、Fiddler， 他們的對比如下。

Android平台下的網路數據抓包工具，Android模擬器中自帶 TcpDump 文件。
用 TcpDump 對網路數據抓包，手機不用走代理——將網路數據包添加到 WireShark 中分析即可。

缺點：

PC端截獲、分析通過該網卡的所有網路通信的數據包（針對移動端時候，就要對移動端設置 代理伺服器）強大的工具，完整查看網路中的每層、每個協議、每個數據包的詳細組成信息；TCP、UDP、HTTP、HTTPS等協議的數據包均可獲取；

缺點：

HTTP協議的代理工具，抓取、分析電腦中所有進出該網卡、與網路進行數山碧據交互的數據（針對移動端抓包時，需要設置代理伺服器)，主要針對的是 HTTP/HTTPS協議；能夠清晰查看 數據包 中的內容——HTTPS中的數據包可以解密出來；

優點：

缺點：

網路

利器 -- 抓包工具總結

移動端網路數據抓包工具對比分析

fiddler和wireshark工具介紹及對比 - catherine的心路歷程 - 博客大巴

❹ 如何使用抓包工具

怎麼使用抓包工具fiddler
Fiddler（二） - 使用Fiddler做抓包分析

blog.csdn/...849983

圖文教程，請參考，按步驟進行操作
如何使用抓世纖包工具
開始界面

wireshark是捕獲機器上的某一塊網卡的網路包，當你的機器上有多塊網卡的時候，你需要選擇一個網卡。

點擊Caputre->Interfaces.. 出現下面對話框，選擇正確的網卡。然後點擊"Start"按鈕, 開始抓包

Wireshark 窗口介紹

WireShark 主要分為這幾個界面

1. Display Filter(顯示過濾器)， 用於過濾

2. Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標地址，埠號。 顏色不同，代表

3. Packet Details Pane(封包詳細信息), 顯示封包中的欄位

4. Dissector Pane(16進制數據)

5. Miscellanous(地址欄，雜項)

使用過濾是非常重要的， 初學者使用wireshark時，將會得到大量的冗餘信息，在幾千甚至幾萬條記錄中，以至於很難找到自己需要的部分。搞得暈頭轉向。

過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

過濾器有兩種，

一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄

一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。 在Capture -> Capture Filters 中設置

保存過濾

在Filter欄上，填好Filter的表達式後，點擊Save按鈕， 取個名字。比如"Filter 102",
抓包工具wireshark怎麼用
這里有教程,一看就懂blog.jobbole/70907/
抓包工具是干什麼的？如何使用
抓數據包的，可以用來分析網路流量，可以用來破譯抓來的數據，比如密碼之類的。網上應該有相關教程，自己研究
如何使用抓包工具？為什麼要帶廳抓包
抓包主要抓取流量，用於分析，如網路診斷、流量分析等等 可以試試基於進程抓包QPA工具
網路抓包工具怎麼用
點開用 會抓取你電腦經過網卡的數據包 分為 tcp udp ip arp 的數據包 然後自己分析
怎樣使用抓包工具直接在電腦上抓包
抓包工具很多啊，比wshark 、當然也有watch 等，你用的哪個工具，就去度娘找相關的教程就好了，一般網路經驗上都有介紹的。
說說會哪些抓包工具,怎麼用
Charles是目前最強大的調試工具，在界面和功能上遠勝於Fiddler，同時是全平台支持，這么好用的軟體可惜就是收費的，網上是有破解版的Charles，學習交流可下載。
如何用wireshark中文抓包工具
你必須利用 wireshark 軟體，在該軟體中設置 filter 過濾規則，對你所需要的數據包進行抓包，然後對抓包後的數據包進行分析。否則的話，如果不設置過濾規則，那樣數據包就太多了，根本達不到用戶的需求。
怎麼用網路抓包工具最好是有 流蠢返隱程的
如果需要專業一點請用

ethereal（英文）不是超簡單

sniffer （有中文漢化的）也不錯，有許多人說是最強的，但我還是認為ethereal最簡單好用

❺ 請教 在網路上，傳說中的抓包是什麼怎樣抓包

抓包就是將網路傳輸發送與接收的數據包進行截獲、重發、編輯、轉存等操作，也用來檢查網路安全，但往往被某些無恥之徒用來網游作弊。
英文名稱為Sniffer，中文可以翻譯為嗅探器，是一種威脅性極大的被動攻擊工具。使用這種工具，可以監視網路的狀態、數據流動情況以及網路上傳輸的信息。當信息以明文的形式在網路上傳輸時，便可以使用網路監聽的方式來進行攻擊。將網路介面設置在監聽模式，畢棗伍便可以將網上傳輸的源源不斷的信息截獲。黑客們常常用它來截獲用戶的口令。據說某個骨幹網路的路由器曾經被黑客攻人，並嗅探到大量的用戶口令。本文將詳細介紹Sniffer的原理和應用。
下面是抓包的方法
1．安裝抓包工具。
目的就是用它分析網路數據包的內容。找一個免費的或者試用版的抓包工具並不難。我使用了一種叫做SpyNet3.12 的抓包工具，非常小巧, 運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設置抓包的類型，比如是要捕獲IP包還是ARP包，還可以根據目的地址的不同，設置更詳細的過濾參數。
2．配置網路路由。
你的路由器有預設網關嗎？如果有，指向了哪裡？在病毒爆發的時候把預設網關指向另外一台路由器是很危險的（除非你想搞癱這台路由器）。在一些企業網里往往僅指出網內地址段的路由，而不加預設路由，那麼就把預設路由指到抓包主機上吧（它不下地獄誰下地獄？當然這台主機的性能最好是高一點的，否則很容易被病毒沖擊而亡）。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上，所有對外訪問的網路包都會被分析到。
3．開始抓包。
抓包主機已經設置好了，網路里的數據包也已經送過來了，那麼我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來，這些就是被捕獲的數據包（如圖）。 圖中的主體窗口裡顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP地址、協議類型、源目的埠號等內容。很容易看出IP地址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求，並且目的埠都是445。
4.找出染毒主機。
從抓包的情況看，主機10.32.20.71值得懷疑。首先我們看一下目的IP地址，這些地址我們網路里存在嗎？很可能網路里根本就沒有這些網段。其次，正常情況下訪問主機有可能在這么短的時間里發起這么多的訪問請求嗎？在毫秒級的時間內發出幾十甚至幾百個連接請求，正常嗎？顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協議，該協議存在拒絕服務攻擊的漏洞，連接埠是445，從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機手或的IP地址。剩下的工作就是給該主機操作系統打補丁殺病毒了。 既然抓到了病毒包，我們看一下這個數據包二進制的解碼內容： 這些數據包的長度都是62個位元組。數據包前12個位元組包括了目的MAC和源MAC的地址信息，緊跟著的2位元組指出了數據包的類型，0800代表的是IP包格式，0806代表ARP包格式。接著的20個位元組是封岩雀裝的IP包頭，包括了源、目的IP地址、IP版本號等信息。剩下的28個位元組封裝的是TCP包頭，包括了源、目的埠，TCP鏈接的狀態信息等。這就構成了一個62位元組的包。可以看出除了這些包頭數據之外，這個包沒有攜帶其他任何的有效數據負荷，所以這是一個TCP要求445埠同步的空包，也就是病毒主機在掃描445埠。一旦染毒主機同步上沒有採取防護措施的主機445埠，便會利用系統漏洞傳播感染。

❻ 區域網如何抓包

你是網路管理員嗎？你是不是有過這樣的經歷：在某一天的早上你突然發現網路性能急劇下降，網路服務不能正常提供，伺服器訪問速度極慢甚至不能訪問，網路交換機埠指示燈瘋狂地閃爍、網路出口處的路由器已經處於滿負荷的工作狀態、路由器CPU已經到了百分之百的負荷……重啟動後沒有幾分鍾現象又重新出現了。
這是什麼問題？設備壞了嗎？不可能幾台設備同時出問題。一定是有什麼大流量的數據文件，耗盡了網路設備的資源，它們是什麼？怎麼看到它們？這時有經驗的網管人員會想到用區域網抓包工具來分析一下。

你一定聽說過紅色代碼、Nimda、沖擊波以及震盪波這些臭名昭著的網路殺手。就是它們製造了上述種種惡行。它們來勢洶洶，阻塞網路、感染主機，讓網路管理員苦不堪言。當網路病毒出現時，如何才能及時發現染毒主機？下面我根據網路病毒都有掃描網路地址的特點，給大家介紹一個很實用的方法：用抓包工具尋找病毒源。

1．安裝抓包工具。目的就是用它分析網路數據包的內容。找一個免費的或者試用版的抓包工具並不難。我使用了一種叫做SpyNet3.12 的抓包工具，非常小巧, 運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設置抓包的類型，比如是要捕獲IP包還是ARP包，還可以根據目的地址的不同，設置更詳細的過濾參數。
2．配置網路路由。你的路由器有預設網關嗎？如果有，指向了哪裡？在病毒爆發的時候把預設網關指向另外一台路由器是很危險的（除非你想搞癱這台路由器）。在一些企業網里往往僅陪猛指出網內地址段的路由，而不加預設路由，那麼就把預設路由指到抓包主機上吧（它不下地獄誰下地獄？當然這台主機的性能最好是高一點的，否則很容易被病毒沖擊而亡）。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上，所有對外訪問的網路包都會被分析到。
3．開始抓包。抓包主機已經設蘆前橋置好了，網路里的數據包也已經送過來了，那麼我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來，這些就是被捕獲的數據包（如圖）。

圖中的主體窗口裡顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP地址、協議類型、源目的埠號等內容。很容易看出IP地址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求，並悔旁且目的埠都是445。
4.找出染毒主機。從抓包的情況看，主機10.32.20.71值得懷疑。首先我們看一下目的IP地址，這些地址我們網路里存在嗎？很可能網路里根本就沒有這些網段。其次，正常情況下訪問主機有可能在這么短的時間里發起這么多的訪問請求嗎？在毫秒級的時間內發出幾十甚至幾百個連接請求，正常嗎？顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協議，該協議存在拒絕服務攻擊的漏洞，連接埠是445，從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP地址。剩下的工作就是給該主機操作系統打補丁殺病毒了。
既然抓到了病毒包，我們看一下這個數據包二進制的解碼內容：
這些數據包的長度都是62個位元組。數據包前12個位元組包括了目的MAC和源MAC的地址信息，緊跟著的2位元組指出了數據包的類型，0800代表的是IP包格式，0806代表ARP包格式。接著的20個位元組是封裝的IP包頭，包括了源、目的IP地址、IP版本號等信息。剩下的28個位元組封裝的是TCP包頭，包括了源、目的埠，TCP鏈接的狀態信息等。這就構成了一個62位元組的包。可以看出除了這些包頭數據之外，這個包沒有攜帶其他任何的有效數據負荷，所以這是一個TCP要求445埠同步的空包，也就是病毒主機在掃描445埠。一旦染毒主機同步上沒有採取防護措施的主機445埠，便會利用系統漏洞傳播感染。

❼ 網路中如何抓包

抓包（packet capture）就是將網路傳輸發送與接收的數據包進行截獲、重發、編輯、轉存等操作，也用來檢查網路安全。抓包也經常被用來進行數據截取等。

背景知識

數據在網路上是以很小的稱為幀（Frame）的單位傳輸的，幀由幾部分組成，不同的部分執行不同的功能。幀通過特定的稱為網路驅動程序的軟體進行成型，然後通過網卡發送到網線上，通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的乙太網卡捕獲到這些幀，並告訴操作系統幀已到達，然後對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。

每一個在區域網（LAN）上的工作站都有其硬體地址，這些地址唯一地表示了網路上的機器（這一點與Internet地址系統比較相似）。當用戶發送一個耐困數據包時，如果為廣播包，則可達到區域網中的所有機器，如果為單播包，則只能到達處於同一碰撞域中的機器。

在一般情況下，網路上所有的機器都可以「聽」到通過的流量，但對不屬於自己的數據包則不予響應（換句話說，工作站A不會捕獲屬於工作站B的數斗畝鄭據，而是簡單地忽略這些數據）。如果某個工作站的網路介面處於混雜模式，那麼它就可以捕獲網路上所有的數據包和幀。

(7)如何抓包電腦傳輸數據擴展閱讀：

主要作用

通過對網空頌絡上傳輸的數據進行抓取，可以對其進行分析，對於軟體的Debug很大的幫助。當然也可以通過抓取用戶發送的涉及用戶名和密碼的數據包來獲取用戶的密碼。

（1）網路通訊的真實內容

（2）網路故障分析

（3）程序網路介面分析

（4）木馬通訊數據內容