嗅探工具

( 1 )抓包及包分析
双击“WiresharkPortable.exe" 文件，启动后选择抓包所在的网卡，如果是有线连接，就选择有线网卡;无线连接，就选择WLAN所在的网卡。

(2)追踪数据流
一个完整的数据流传输股由很多包组成，可以使用追踪数据流的方法来在查看并分析一组数据包。
在需要追踪数据流的某个数据包上使用鼠标右键单击，从“追踪流”中选择追踪方式。

(3 )筛选数据包
抓包后，需要对包进行筛选，找到需要的数据包。在 “Wireshark"中叫作“应用显示过滤器”，位置在主界面快捷按钮下方。
常用筛选数据包的语言格式如下:
ip.src1.2.3.4:筛选出源地址是1.2.3.4的数据包。
ip.dst1.2.3.4:筛选出目的地址是1.2.3.4的数据包。
如果需要筛选协议，直接输人数据协议的名称，tep、udp、http等。
tep.srcport-80:筛选出TCP源端口号是80的包( dstport是目的端口号)
如筛选目的IP地址是本机的数据包，可以输入ip.dst== 192.168.1.116，如果语创正确，语句背景变成绿色，按回车后显示结果。

(4)捕获前过滤
如果是有针对性的实时检测，可以在捕获前过滤不需要的数据，只捕获需要的数据，并且可以实时显示和查看。捕获前过滤和捕获后筛选的命令不同，下面介绍一些捕获前过滤的常用命令及用法。
host 1.2.3.4:只捕获IP地址为1.2.3.4的数据包。
net 1.2.3.0/24:只捕获某个IP地址范围内的数据包。
src 1.2.3.4:只捕获源地址为1.2.3.4的数据包。
dst 1.2.3.4:只捕获目的地址为1.2.3.4的数据包。
port 80:只捕获HTTP (端口80 )通信数据包。
在命令行中，还可以使用“and” 来表达同时满足两个条件，用“not”来表示非，用“or”表示条件满足一个即可。
host 1.2.3.4 and not port 80 and not port 25:捕获IP地址为1.2.3.4，且非HTTP和SMTP以外的通信数据包。
port not 80 and not arp:捕获非HTTP和非ARP的数据包。
通过编制复杂的筛选语句，可以实现精准捕获。下面介绍如何抽获源地地址为本机的HTTP包。
在主界面中，单击“捕获选项”按钮。
在“捕获选项”中，选择以太网卡，并输入表达式，如果正确，背景变为绿色，单击“开始”按钮。

(5)数据统计
Wireshark除抓取数据包外，还可以对已经抓取的数据进行各种统计工作，这也是该软件的优势之一， 如进行数据分析。用户结束抓取后，可以单击“统计”菜单按钮，查看各种统计信息，如选择“流量图”选项。

抢个沙发

nb

谢了！

NB