记录:
1.如果要抓本地进程之间不同端口之间的通信包,需要卸载winpCap,安装npCap。原因大概是本地进程之间http端口通信不经过网卡,默认winpCap只能抓经过网卡的包;通过安装npCap实现一个本地环路。即可抓到本地进程不同端口间的数据包。http://blog.csdn.net/u013566722/article/details/78026992
2.抓包过程中控制输出列选项。编辑->首选项->外观->列
将要显示的信息顺序排列,至于类型信息,可见手册
说明下 (1)时间显示格式,视图->时间显示格式->自动+时间 两项可以显示时分秒微秒
(2)info显示协议头或ACK
(3)http.file_data显示请求包,或应答包的包体
(4)关于过滤包:!http contains "{ \"result\" : { \"message\" : \"OK\", \"num\" : 200 } }" and http and !http contains "POST /merlin/Heartbeat.cgi HTTP/1.1" and !http contains "POST /merlin/alarmHeartbeat.cgi HTTP/1.1"
http contains "选择包含的字符串,注意内部双引号需要转义" ,可以在http前加叹号 !即过滤不包含该条件的包,以上实现的是不过滤ACK 200的包,http协议,不包含两类心跳包。