记录使用wireshark抓取SOAP包的步骤
1. 下载安装WireShark,显示错误WireShark"The NPF isn't running......"
首先,你得确认自己安装了winpcap(最好下载一个最新版本:官方下载,这会官方好像打不开,也可以华军下载),然后
(1)如果你使用的是Linux、Ubuntu系统,请用 >$ su Administrator命令切换到拥有最高权限的帐号,然后再输入命令:“net start npf”(如果不行自己查找类似命令)。
(2)如果使用的是windows xp\me,请使用管理员帐号登录,然后打开cmd,输入命令:“net start npf”,会提示打开驱动服务成功。
(3)如果使用的是Windows vista或者跟我一样试用的Windows 7,请找到“C:\Windows\System32”下的 cmd.exe 文件,右键点击选择“Run as administrator”,然后在命令行模式下输入命令“net start npf”,即可成功打开NPF的驱动,应该就是我前面找到过的 npf.sys 文件被打开了
重新启动Wireshark就可以正常运行了
2. 抓包的步骤
1. Capture->Interface->(选择对应的自己的网卡) start
这时候数据界面就显示了当前网卡的所有数据和协议了。
如本例选择第一个Realtek的网卡,即使两个都选,第二个没有数据
2. 过滤查找所需的数据
如想要查找ip地址为10.110.6.252的交互数据
可以在Filter里面填写 ip.addr==10.110.6.252(回车或者点Apply)
如果我们只想抓TCP的 ip.addr == 10.110.6.252 && tcp (注意要小写)
如果不想看到ACK ip.addr == 10.110.6.252 && tcp && tcp.len != 0
如果要看数据包中含有5252的值的数据(注意此处为16进制)
ip.addr == 10.110.6.252 && tcp && tcp.len != 0 && (data.data contains 5252)
3. 含有很多过滤方法可以点击Express,里面有一些选项,自己多试试。
用好一个工具很重要,但要长期的积累才行,自己多使用,多看点教程就OK。
WireShark详细的教程资料
http://blog.csdn.net/xmphoenix/article/details/6546022
扫一扫
1138
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
