具体抓包步骤与分析方法

1、具体抓包步骤一、 首先打开wireshark进入主界面 二、 点选Capture Options 快捷键Ctrl+K 进入捕捉过滤器界面三、 设置捕捉过滤器抓包方式为Capture packets in pcap-ng format混乱抓包，（Capture Filter具体过滤命令见wireshark详解，）四、 点选Start开始进行抓包具体捕捉过滤设置如下：Wireshark抓包开始运行后，我们就可以打开我们需要抓包分析的应用了（在这之前，如果对端口号和IP不熟悉的用户，可以先打开路由web管理界面的内网监控看一下正在运行的连接，并记录下来）五、 ikuai路由内网监控连接状态介绍如图所

2、示，在系统状态下的内网流量监控里的某个IP下的终端连接详情里，我们可以看到某个IP下这台机器目前正在运行的一些网络连接的详细信息。在这里我们着重讲下连接状态的定义1、已连接正在连接的数据流2、等待 等待转发或连接的数据流3、- 或无状态无交互性连接，例如UDP连接4、未定义未经路由向外网进行转发或者传输的数据连接。例如内网数据通信六、 具体针对某个软件进行抓包分析的步骤与过程1. 具体步骤完成了上述操作后，我们运行需要抓包分析的软件（我们已迅雷为例）之后我们需要再次查看终端连接详情在这时我们可以看到，相对于运行迅雷以前的终端连接详情里，我们这里多出了一些链接，这些链接就是我们需要在wiresh

3、ark里需要过滤分析的迅雷的数据连接了。在这个例子里我们可以看到，在协议名称里，迅雷的协议已经成功识别，但是，在我们真实操作中，需要抓包分析的绝大多数软件的协议，在这里会被识别为:未知协议或错误为其他一些应用的协议，比如明明开启的是迅雷下载，但是协议里被识别为某个游戏，在这时，我们就需要根据抓包前记录的终端连接详情对比运行软件之后的进行对比，出现未知协议或错误协议名称的进程是否属于我们需要分析的软件进程。（在这里我们建议对协议的端口号或IP不熟悉的用户，在抓包分析师，关闭所有需要网络连接的程序，已便于判断）如果确定是我们需要抓包的软件的进程的话，我们就可以在wireshark进行过滤分析了。2

4、. 具体分析根据应用协议的分类我们进行协议采集时需要记录的信息与方法也有不同1、 HTTP类连接的分析方法首先按照之前我们讲的步骤依次来过，只是打开的软件也可以是某个网站根据终端连接详情里出现的IP或者端口号（HTTP类协议建议根据IP进行过滤）我们可以过滤出这条连接产生的数据流如图所示，在这里我们可以看到TCP协议经典的三次握手过程，三次握手之后就是具体的连接数据，也就是我们需要分析的内容了，点击三次握手之后的任意数据。单击右键，选择follow tcp stream打开打开之后我们就可看到这条HTTP连接的具体信息了在这里我们需要查看记录的可用信息一般有三项：URL：统一资源定位符 （第一

5、行除GET之外的字段）HOST:主机名称Referer：链接地址记录之后保存并退出wireshark，关闭正在测试的软件，并确保结束系统后台进程，如测试的是某个网站，要清除浏览器缓存Wireshark存储方式如图所示点选file下的Save As.或快捷键shift+ctrl+s在保存界面里选择Displayed只保存当前过滤出的内容（Captured为保存全部数据包） 最后重复上述操作三到四此，观察三项数值是否存在相同性，并记录下来（建议大家直接直接将所有保存的数据包直接发送给我们并说明来源，具体分析添加将由我们来完成）2、 tcp类协议分析方法tcp类协议分析方法基本与HTTP类相似，唯一

6、不同的就是具体协议分析需要记录的点如图所示，TCP协议打开后会看到这样一个界面，其中显示的是这条数据的明文内容。在这个界面里我们可以用到的选项有Find：查找，通常会在对比时用到Hexdump:明文与16进制译文分屏显示C Arrays:16进制译文另外关于颜色方面，红色为客服端发送的数据包，蓝色为服务端发送的数据包如图所示：这是数据包转换为16进制之后的译文，其中需要注意的是TCP协议数据是存在发包顺序的，进行协议对比时，需要注意只有相同方向，位置相同的数据才有对比性.char peer0_0表示客户端第一个数据包，char peer0_1表示该数据为服务端第一个数据包，之后的数据包序号均为

7、之前数据的序号+1 例如：char peer0_1 或char peer1_1通过重复的进行抓包，我们需要记录的就是相同数据流相同方向的相同位置的数据之间的相同点，端口号以及IP是否相同或者存在一定范围。（在这里我们还是强烈建议各位直接将所有抓的数据包附上说明直接发送给我们）3、 UDP类协议分析方法UDP类协议分析方法与TCP分析方法相同。至于其他类别协议例如ARP、DNS、ICMP等协议大家可以直接抓取整个数据流并附上说明发送给我们，由我们进行具体分析。最后向大家说明下将抓到的所有数据包发送给我们时附带说明的格式1 说明数据包的来源 例如某个游戏或某个网站2 如果您发送的数据包是整体的数据包，请您写明您运行您要分析的应用所产生的数据流的