wireshark抓包分析

记录使用wireshark抓取SOAP包的步骤

1.  下载安装WireShark,显示错误WireShark"The NPF isn't running......"

  首先,你得确认自己安装了winpcap(最好下载一个最新版本:官方下载,这会官方好像打不开,也可以华军下载),然后

(1)如果你使用的是Linux、Ubuntu系统,请用 >$ su Administrator命令切换到拥有最高权限的帐号,然后再输入命令:“net start npf”(如果不行自己查找类似命令)。

(2)如果使用的是windows xp\me,请使用管理员帐号登录,然后打开cmd,输入命令:“net start npf”,会提示打开驱动服务成功。

(3)如果使用的是Windows vista或者跟我一样试用的Windows 7,请找到“C:\Windows\System32”下的 cmd.exe 文件,右键点击选择“Run as administrator”,然后在命令行模式下输入命令“net start npf”,即可成功打开NPF的驱动,应该就是我前面找到过的 npf.sys 文件被打开了

重新启动Wireshark就可以正常运行了

2. 抓包的步骤

    1.  Capture->Interface->(选择对应的自己的网卡) start

       这时候数据界面就显示了当前网卡的所有数据和协议了。

       如本例选择第一个Realtek的网卡,即使两个都选,第二个没有数据

    2. 过滤查找所需的数据

        如想要查找ip地址为10.110.6.252的交互数据
      可以在Filter里面填写 ip.addr==10.110.6.252(回车或者点Apply)
     如果我们只想抓TCP的 ip.addr == 10.110.6.252 && tcp (注意要小写)
   如果不想看到ACK ip.addr == 10.110.6.252 && tcp && tcp.len != 0
   如果要看数据包中含有5252的值的数据(注意此处为16进制)
   ip.addr == 10.110.6.252 && tcp && tcp.len != 0 && (data.data contains 5252)

 
3. 含有很多过滤方法可以点击Express,里面有一些选项,自己多试试。
用好一个工具很重要,但要长期的积累才行,自己多使用,多看点教程就OK。

 

 

WireShark详细的教程资料

http://blog.csdn.net/xmphoenix/article/details/6546022

 

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值