wireshark抓包及数据包分析
1、下载安装wireshark
从http://www.wireshark.org/&下载安装Windows平台的wireshark，双击安装文件安装即可，在安装过程中注意选择安装winpcap。安装过程简单，没有问题。
2、wireshark的使用
启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start
a new live capture。
主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。
在启动时候也许会遇到这样的问题：弹出一个对话框说&NPF
driver&没有启动，无法抓包。在win7或Vista下找到C: \system\system32下的cmd.exe&以管理员身份运行，然后输入&net
start npf，启动NPf服务。
重新启动wireshark就可以抓包了。
抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：
Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。
each packet：限制每个包的大小，缺省情况不限制。
Capture packets in promiscuous
mode：是否打开混杂模式。如果打开，抓&&&取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。
Filter：过滤器。只抓取满足过滤规则的包。
File：可输入文件名称将抓到的包写到指定的文件中。
ring buffer：&是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓冲，还需要设置文件的数目，文件多大时回卷。
Update list of packets in real
time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。
单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：
为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。
3、对抓包结果的说明
wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。
使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。
上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。
中间的是协议树，如下图：
通过此协议树可以得到被截获数据包的更多信息，如主机的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口号（user datagram protocol）以及UDP协议的具体内容（data）。
最下面是以十六进制显示的数据包的具体内容，如图：
这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。
4、验证网络字节序
网络上的数据流是字节流，对于一个多字节数值（比如十进制1014 = 0x03
f6），在进行网络传输的时候，先传递哪个字节，即先传递高位“03”还是先传递低位“f6”。&也就是说，当接收端收到第一个字节的时候，它是将这个字节作为高位还是低位来处理。
下面通过截图具体说明：
最下面是物理媒体上传输的字节流的最终形式，都是16进制表示，发送时按顺序先发送00 23 54 c3 …00 03 f6 …接收时也按此顺序接收字节。
length：1014，&它的十六进制表示是0x03f6，&从下面的蓝色选中区域可以看到，03在前面，f6在后面，即高字节数据在低地址，低字节数据在高地址（图中地址从上到下从左到右依次递增），所以可知，网络字节序采用的是大端模式。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。求助，wireshark抓取分析http数据包 看不懂_百度知道
求助，wireshark抓取分析http数据包 看不懂
我有更好的答案
试试进程抓包QPA功能，更加简单
其他类似问题
为您推荐：
wireshark的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁查看: 2464|回复: 5
wireshark抓取IMAP协议数据包的方法和过程
在线时间 小时
阅读权限30
& &&&在开始看到IMAP4协议的时候，也是略微的有些印象是和smtp 和pop3关联在一起的关于邮件的协议，具体是什么还是一头雾水。所以就针对了这个协议全面了解了一番，并且和smtp 、 pop3的区别做了一些比较。完成了对IMAP的基本认识之后，就开始着手着去实施怎么样的环境部署能够获取到IMAP协议数据包了，刚开始机从表面认识上发现他是个邮件接收的协议，即从邮件服务器中如（）从提取邮件信息的协议。所有一开始就在真实的系统上面，打开qq邮箱，并且先在别的邮件账号上发一封邮件和附件到qq邮箱中去，然后打开wireshark，qq邮箱在接收了，邮件之后，发现wireshark一个imap协议的数据包都没有，且大部分都是tcp的流量，此时，就在想，是什么原因，难道是网页版的邮件收取造成的，具体原因也不怎么清楚，后来经过了一些列的查找资料和分析，找出了这个让自己不是很了解邮件传输过程的本质。
浏览器如IE、Maxthon可通过登陆用户邮箱，来收发邮件，这是怎样实现的？例如可通过登陆来收发邮件。
这个过程是这样的：在提供的邮件页面上填写的相应信息（如发信人邮箱、收信人邮箱 等），通过http协议被提交给126服务器；126服务器根据这些信息组装一封符合邮件规范的邮件（就像用户代理一样 如：foxmail）；然后 (代理如：foxmail)通过SMTP协议将这封邮件发送到接收端邮件服务器。
可以看出，浏览器发送邮件只是用户代理的功能直接放到邮件服务器上去做了，至于邮件服务器间发送邮件还是采用的SMTP协议。我们看问题，如果有必要还是要适当地透过现象看本质。
这就是为什么直接用qq网页版的邮箱时，无论如何发送，下载邮件，用wireshark都是无法抓取到imap pop smtp 这些协议的原因！！！
邮件的收发过程。
这样自己就想到了，使用用户代理foxmail作为邮件发送的代理，之后，进行了这样的一些设置，最后出现了imap的协议包数据。
之后就在虚拟机上，安装了foxmail 并且 打开wireshark 抓取了在 没有ssl加密的情况下的 imap数据包这样的数据包认证的账号和密码都依依以明文的形式呈现了，和通过ssl加密的imap数据包。
& &浏览器发送邮件用的什么协议
浏览器如IE、Maxthon可通过登陆用户邮箱，来收发邮件，这是怎样实现的？例如可通过登陆来收发邮件。
这个过程是这样的：在提供的邮件页面上填写的相应信息（如发信人邮箱、收信人邮箱 等），通过http协议被提交给126服务器；126服务器根据这些信息组装一封符合邮件规范的邮件（就像用户代理一样 如：foxmail）；然后 (代理如：foxmail)通过SMTP协议将这封邮件发送到接收端邮件服务器。
可以看出，浏览器发送邮件只是用户代理的功能直接放到邮件服务器上去做了，至于邮件服务器间发送邮件还是采用的SMTP协议。我们看问题，如果有必要还是要适当地透过现象看本质
户代理UA（User Agent）：是用户与电子邮件系统的交互接口，一般来说它就是我们PC机上的一个程序。Windows上常见的用户代理是Foxmail和Outlook Express。
用户代理提供一个好的用户界面，它提取用户在其界面填写的各项信息，生成一封符合SMTP等邮件标准的邮件，然后采用SMTP协议将邮件发送到发送端邮件服务器。
这就是为什么直接用qq网页版的邮箱时，无论如何发送，下载邮件，用wireshark都是无法抓取到imap pop smtp 这些协议的原因！！！
邮件的收发过程
一般情况下，一封邮件的发送和接收过程如下。
1)& && &&&发信人在用户代理里编辑邮件，包括填写发信人邮箱、收信人邮箱和邮件标题等等。
2)& && &&&用户代理提取发信人编辑的信息，生成一封符合邮件格式标准（RFC822）的邮件。
3)& && &&&用户代理用SMTP将邮件发送到发送端邮件服务器（即发信人邮箱所对应的邮件服务器）。
4)& && &&&发送端邮件服务器用SMTP将邮件发送到接收端邮件服务器（即收信人邮箱所对应的邮件服务器）。
5)& && &&&收信人调用用户代理。用户代理用POP3协议（或imap）从接收端邮件服务器取回邮件。
6)& && &&&用户代理解析收到的邮件，以适当的形式呈现在收信人面前
免费的邮件服务器：
& & & & & & & & & & & & & & & &
该贴已经同步到
在线时间 小时
阅读权限50
在线时间 小时
阅读权限40
好东西 感谢楼主
在线时间 小时
阅读权限40
在线时间 小时
阅读权限50
在线时间 小时
阅读权限20
回复可见？
Powered by利用Wireshark截取数据包，并对数据包进行解析
时间： 10:52:31
&&&& 阅读：14228
&&&& 评论：
&&&& 收藏：0
标签：&&&&&&&&&&&&&&&&&&
wireshark安装文件下载地址：
（提取码：0bbc）
安装步骤：
解压文件之后，在\wireshark-win32-1.4.9中文版\文件夹中找到安装文件，双击即可安装。
安装完成之后，双击wireshark图标即可启动，界面如下：
抓包步骤：
1、点击开始按钮列出可以抓包的接口：
2、点击选项可以配置抓包参数：
3、配置完成点击开始，即可开始抓包：
4、点击停止完成抓包。
抓包界面分析：
抓包结果整个窗口被分成三部分：
1、最上面为数据包列表，用来显示截获的每个数据包的总结性信息；
2、中间为协议树，用来显示选定的数据包所属的协议信息；
3、最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。
数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。
协议树可以得到被截获数据包的更多信息，如主机的MAC地址（Ethernet
II）、IP地址（Internet protocol）、UDP端口号（user datagram
protocol）以及UDP协议的具体内容（data）。
分析ICMP协议数据包
实验原理：&ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。
实验步骤：
点击开始抓包,为了抓取使用ICMP的包，我们要设置过滤条件，点击“选项”：
再点击“抓包过滤”按钮：
因此初始状态下没有只抓取ICMP协议包的过滤条件，因此我们点击新建按钮：
在过滤名字和过滤条件中分别输入“ICMP
only”（自定义），“icmp”,点击确定：
这是可以看到抓包过滤按钮后面的文本框出现了ICMP字样，说明过滤条件设置成功：
点击开始，发现现在抓取不到任何包：
打开命令行窗口，执行命令：ping&:
这时可以看到数据包抓取页面抓取到了8包，与命令行显示的已发送和已接受的包的数量是一致的：
选择任意一个包查看详细信息：
可以看到ICMP报文的格式为：
在这个试验中，可以发现，icmp的报文就只有两种，请求和应答：
这两个报文的type不一样，8代表请求，0代表应答；code都为0，表示为回显应答；标示符和序列号都是一样的，表示这两个报文是配对的
协议，所以此次实验选取
DHCP数据包分析&&&&&&&&&&&
使用DHCP获取IP地址：
（1）打开命令窗口,启动Wireshark。&
（2）输入“ipconfig&&/release”。这条命令会释放主机目前的IP地址，此时，主机IP地址会变为0.0.0.0&
（3）然后输入“ipconfig&&/renew”命令。这条命令让主机获得一个网络配置，包括新的IP地址。&
（4）等待，直到“ipconfig&&/renew”终止。然后再次输入“ipconfig&&/renew”&命令。&
（5）当第二个命令“ipconfig&&/renew”&终止时，输入命令“ipconfig&/release”&释放原来的已经分配的IP地址&
（6）停止分组俘获。如下图：
五．实验分析
由截图可知，本机发起DHCP
Discover包，用来寻找DHCP服务器，源ip是0.0.0.0，因为刚开始还不知道，目的地址是255.255.255.255的广播地址，广播到整个网段。
Message type为1表明是请求包，由客户端发出。
Hardware address
length为6表示本机的网络硬件地址长度为6bytes
Hops为0表示跳数，此处为0 表示没有经过网关。
此字段表示DHCP报文类型：
此字段表示DHCP客户端的报文类型。
这是UDP上的DHCP，本机发起的端口是68，目标端口是67.
DHCP服务器收到客户端发的DHCP
Discover之后，会在自己的地址池中拿出一个没有分配的地址以及配套的参数（如：掩码、DNS、网关、域名、租期……），然后以一个DHCP
Offer包发送出去。
此时源IP是DHCP服务器的IP，目的IP是255.255.255.255的广播。这时候本机还无法获得IP，所以DHCP服务器只能用广播来回应。
此截图表明通过UDP传输，客户端端口号68，服务器是67。
Message type为2表明是回复包。
Hops为1不标明经过了一个中继。
表明给客户端的IP地址，但是现在还没有确认。
这是中断的地址，就是网关
DHCP服务器地址
客户端收到这个DHCP Offer后，会再发出一个DHCP
Request给服务器来申请这个Offer中包含的地址。这个时候，客户端还没有正式拿到地址，所以还需要向DHCP服务器申请。
此时客户端的源IP还是0.0.0.0，目的IP还是255.255.255.255。
将这些都广播出去，告诉其他DHCP服务器和分配给本机的服务器。
被客户机选择的DHCP服务器在收到DHCPREQUEST广播后，会广播返回给客户机一个DHCPACK消息包，表明已经接受客户机的选择，并将这一IP地址的合法租用以及其他的配置信息都放入该广播包发给客户机。
本次抓包过程将采用显示过滤器的方法来过滤数据包。
&标签：&&&&&&&&&&&&&&&&&&
&&&& &&&&&&
&& &&&&&&&&&&
版权所有 鲁ICP备号-4
打开技术之扣，分享程序人生！