抓包软件的学习

1.抓包软件wireshark

常见问题：

 (1)启动wireshark ，提示npf驱动没有启动

以管理员运行命令行输入命令：

sc config npf start= auto

net start npf

  (2)抓包必须安装wincap，安装wireshark会提示安装。已安装则忽略。

2.简单的使用

（1）界面，中选择一个端口，点击strat就开始我们的抓包之旅了。

(2)抓包界面

不同类型的报文，以不同的颜色显示。

（3）过滤报文

报文十分多，过滤多余的报文有利于我们分析。在filter中填入过滤条件，点击apply即能筛选出报文。

3.过滤报文深入学习

(1)除了在filter中直接写过滤条件，也可以点击菜单栏中的Analyze中的display filter进行选择过滤条件。

（2）页可单机某个属性后，选择applay as Filter 进行快速过滤

(4)单击报文。即可查看对于的内容。

（5）对于TCP而言可以右键，follow tcp Stream 即可查看，全部的请求报文和回复报文。红色为客服端报文，蓝色为服务器的代码。

(6)常用过滤条件

1）&& 或 and 代表条件与

2）||    或 or 代表条件或

3) ==   或 eq 表示等于

4）!     或 not 表示取反

5）ip.src 源ip地址

6）ip.dst ，目的ip地址

7）tcp.port、tcp.srcport 、tcp.dstport  ,分别表示，过滤源端口和目的端口为指定的端口，过滤源端口，过滤目的端口。也可替换为udp.port 根据协议而定前缀

8）协议过滤直接输入协议名，如http,tcp

9）过滤http，get，post方法：http.request.method=="POST" http.request.method=="GET"

10）过滤报文内容

       长度过滤：udp.length < 30 

     内容过滤：http.request.uri contains "a" 包含a   http.request.uri matches "a"  匹配a