ip抓包新手使用指南 - 图文

iptool抓包分析工具新手使用指南 设置捕包选项

1、选捕包网卡，如下图：

如上图

1、选择好捕包网卡，左连还有一些其它捕包条件供选择，如果当所选网卡不支持“杂项接收”功能，系统会提示相应信息,出现该情况时您将无法获取与本网卡无关的数据包，换言之，您无法获取其他电脑之间的通讯包，所以， 建议您更换网卡。 不支持“杂项接收”的网卡，多数为一部分无线网卡及少数专用服务器/笔记本网卡。 2、协议过滤

通常情况下，可不选，除非您对协议类型较为熟悉。 3、设置捕包缓冲

确省的捕包缓冲区大小为 1M，如果您的要追踪的网络规模较大，可适当调大该值；另外，

如果追踪主机 CPU 处理能力不够，也需加大缓冲；否则，可能出现丢包的情况。 4、IP过滤

IP过滤里可以设置想要捕包的IP地址或是设置要排除的IP地址等信息。 5、端口过滤

端口过滤过滤里可以设置想要捕包的端口或是设置要排除过滤的端口等信息。

体验“捕包分析”

1、设置捕包过滤项

这里的过滤和“追踪任务”过滤设置是独立分开的，请不要混淆，其可选内容项更多。点按钮，如下图：

上述选项中，最为复杂的是“数据块匹配”部分，详细的介绍将在下面的章节部分出现，这里只需要配置好正确的网卡即可，其他选项可以不做任何设置。

2、开始捕获，点按钮。

通过上述步骤，基本上可以体验到该产品的最基础的功能。

IP包回放

IP包回放的目的是：

1、有助于了解原始包通讯的地理分布情况。

2、通过将IP包回放到网卡上，模拟原始IP包在网络上传输情况，也可供同类捕包软件捕获分析。

通讯协议分析

捕包准备 捕包分析工具条：

开始捕包前，用户需先进行过滤设置，选项内容包括： 选网卡

如果您有多块网卡，需要选中能捕包到预想中的数据的网卡。 协议过滤

针对Internet通讯部分，常见的IP包类型为：TCP/UDP/ICMP。绝大部分是TCP连接的，比如HTTP(s)/SMTP/POP3/FTP/TELNET等等；一部分聊天软件中除了采用TCP通讯方式外，也采用了UDP的传输方式，如QQ/SKYPE等；而常见的ICMP包是由客户的Ping产生的。设置界面如下：

IP过滤

“IP过滤”在捕包过滤使用最为常见，IP匹配主要分两类：一是不带通讯方向，单纯的是范围的匹配，如上图中的“From:to”类型；另外一类是带通讯方向的一对一匹配，如上图“< -- >”类型，不仅匹配IP地址，也匹配通讯的源IP和目标IP的方向。 端口过滤

“端口过滤”只针对两种类型的DoD-IP包：TCP/UDP。 数据区大小

“数据区大小” 的匹配针对所有DoD-IP类型包，不过需要说明的是，TCP/UDP的IP数据区是以实际数据区位置开始计算的，而其他类型的则把紧随IP包头后面的部分当作数据区。

数据块匹配

“数据块匹配”较为复杂，但却非常有用，设置界面如下：

在这里，用户可以输入文本，也可以输入二进制，可以选择特定位置的匹配，也可以选择任意位置的匹配，总之，该设置非常灵活好用。 结束条件

如下图，缺省条件下，当捕获的包占用空间多余10M时，自动停止。

结束于某个时间点，是指捕包的截止时间。

分析捕获包

用户按下“开始”按钮启动捕包功能后，列表框中会自动显示出符合条件的数据包，并附带简单的解析。用鼠标右键点击内容，弹出下图中的菜单：

选中“分析”，出现下面的画面：

上图中，左边和右下部分是分析结果，右上部是原始二进制代码，选中左边某一条目时，在

右边二进制区域的色块和其一一对应。

如果用户以前少有接触协议分析部分，IPTOOL可以很好地协助您深入了解TCP/IP协议。我们将在网站定期提供一些捕获样例包，协助用户学习分析各种类型的IP包。

本文来源：https://www.bwwdw.com/article/i72.html