抓包什么是"抓包"?怎样"抓包"?

如何使用抓包工具

开始界面 wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。

然后点击"Start"按钮, 开始抓包 Wireshark 窗口介绍 WireShark 主要分为这几个界面 1. Display Filter(显示过滤器)， 用于过滤 2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。

颜色不同，代表 3. Packet Details Pane(封包详细信息), 显示封包中的字段 4. Dissector Pane(16进制数据) 5. Miscellanous(地址栏，杂项) 使用过滤是非常重要的， 初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。

搞得晕头转向。

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种， 一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录 一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。

在Capture -> Capture Filters 中设置 保存过滤 在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。

比如"Filter 102",

抓包是什么

抓包简单的来说就是对有网络通信的程序的网络数据发送进行监视，把你想要的网络数据（或者说所有的网络数据）进行监视，并保留下来用于分析。

比如如果你想的了解QQ是怎么样登陆的，你就得对QQ程序进行抓包，然后分析

抓包有什么用，请高手讲解

不知道你说的抓包是什么东东，能不能说清楚点。

－－－－－－－－－－－－－－－－－－－－ 呵呵，你是不是想说在网络上的抓包啊.嘿嘿. 其实是这样的，比如你在局域网或是网吧等等这些地方，如果你发邮件或是发信息到局域网外部去的时候，管理员可以通过一些软件或是硬件来得到这些信息..就是把你的数据包给抓下来.（什么是数据包知道吧.就是图片啊信息啊，都是通过网转数123这样的数据来发出去的，123这些鸟东东就叫做数据包.）

有哪些抓包工具？

Sniffer,wireshark,WinNetCap.WinSock Expert,SpyNet 都是当前流行的抓包工具 我常用wireshark，支持Windows/LInux，免费

什么是"抓包"?怎样"抓包"?

你是网络管理员吗？你是不是有过这样的经历：在某一天的早上你突然发现网络性能急剧下降，网络服务不能正常提供，服务器访问速度极慢甚至不能访问，网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。

这是什么问题？设备坏了吗？不可能几台设备同时出问题。

一定是有什么大流量的数据文件，耗尽了网络设备的资源，它们是什么？怎么看到它们？这时有经验的网管人员会想到用局域网抓包工具来分析一下。

你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭著的网络杀手。

就是它们制造了上述种种恶行。

它们来势汹汹，阻塞网络、感染主机，让网络管理员苦不堪言。

当网络病毒出现时，如何才能及时发现染毒主机？下面我根据网络病毒都有扫描网络地址的特点，给大家介绍一个很实用的方法：用抓包工具寻找病毒源。

1．安装抓包工具。

目的就是用它分析网络数据包的内容。

找一个免费的或者试用版的抓包工具并不难。

我使用了一种叫做SpyNet3.12 的抓包工具，非常小巧, 运行的速度也很快。

安装完毕后我们就有了一台抓包主机。

你可以通过SpyNet设置抓包的类型，比如是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。

2．配置网络路由。

你的路由器有缺省网关吗？如果有，指向了哪里？在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的（除非你想搞瘫这台路由器）。

在一些企业网里往往仅指出网内地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主机上吧（它不下地狱谁下地狱？当然这台主机的性能最好是高一点的，否则很容易被病毒冲击而亡）。

这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。

或者把网络的出口映像到抓包主机上，所有对外访问的网络包都会被分析到。

3．开始抓包。

抓包主机已经设置好了，网络里的数据包也已经送过来了，那么我们看看网络里传输的到底是些什么。

打开SpyNet 点击Capture 你会看到好多的数据显示出来，这些就是被捕获的数据包（如图）。

图中的主体窗口里显示了抓包的情况。

列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。

很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。

4.找出染毒主机。

从抓包的情况看，主机10.32.20.71值得怀疑。

首先我们看一下目的IP地址，这些地址我们网络里存在吗？很可能网络里根本就没有这些网段。

其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台10.32.20.71的主机肯定有问题。

再了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一步证实了我们的判断。

这样我们就很容易地找到了染毒主机的IP地址。

剩下的工作就是给该主机操作系统打补丁杀病毒了。

既然抓到了病毒包，我们看一下这个数据包二进制的解码内容： 这些数据包的长度都是62个字节。

数据包前12个字节包括了目的MAC和源MAC的地址信息，紧跟着的2字节指出了数据包的类型，0800代表的是IP包格式，0806代表ARP包格式。

接着的20个字节是封装的IP包头，包括了源、目的IP地址、IP版本号等信息。

剩下的28个字节封装的是TCP包头，包括了源、目的端口，TCP链接的状态信息等。

这就构成了一个62字节的包。

可以看出除了这些包头数据之外，这个包没有携带其他任何的有效数据负荷，所以这是一个TCP要求445端口同步的空包，也就是病毒主机在扫描445端口。

一旦染毒主机同步上没有采取防护措施的主机445端口，便会利用系统漏洞传播感染。

3.12 下载地址：/showarticle.asp?NewsID=2654