本文主要分为以下几点:
1.什么是pcap包?
2.pcap包内容如何查看?
3.在java程序中借助WireShark进行解析,在后台查看
1.什么是pcap包
什么是pcap抓包
PCAP是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark也是用PCAP库来抓取数据包的。PCAP抓取出来的数据包并不是原始的网络字节流,而是对其进行从新组装,形成一种新的数据格式。
2.pcap包如何打开查看
在window系统上直接用Wireshark就可以进行pcap包的查看以及在线进行pcap的抓取。
默认打开显示的时间是以微秒形式进行显示,查看起来不是很直观,所以需要对时间一列进行格式化。
通过
frame.time>="2017-10-20 11:16:47.053237" and frame.time<="2017-10-20 11:16:48.168048"
进行时间过滤过滤源ip、目的ip。过滤目标地址
ip.dst==192.168.101.111
;查找源地址为ip.src==192.168.101.111
;端口过滤。tcp.port==8080,把源端口和目的端口为8080的都过滤出来。tcp.dstport==8080只过滤目的端口为8080的,tcp.srcport==8080只过滤源端口为80的包[更多过滤规则]
3.在java程序中借助WireShark进行解析,在后台查看
由于公司里面的测试环境是window环境,所以我采用的是在Java中使用Runtime和Process类运行WireShark程序进行pcap的解析