如何抓包分析数据(怎样分析抓包数据)

怎样分析抓包数据

1、tcpdump、snoop都是系统命令，可以定义一些参数抓某些接口、地址、协议的包。具体使用可以参考联机手册。　　

2、用wireshark可以抓接口的流量，要先分光或者镜像端口。抓包的时候经常定义一些过滤条件，除非你wireshark使用的电脑硬盘足够大或者抓的时间很短。可以借助网络查看wireshark使用手册。　　

3、一般分析，可能需要先把用户面和控制面分离。Gn/Gp可以用GTP端口2123、2152，IuPS可以用GTP协议、SCCP、UDP，GboverIP可以用llcgprs和gsm_a_dtap。有IP地址的可以用IP过滤。

抓包分析软件

packt是一款数据包捕获/ssl网络流量嗅探的应用程序的软件，是无root抓包packet capture真是网路调试的福音，packt这款软件是通过自建一个vpn达到无root，通过中间人方便调试加密流量，流量还区分应用一目了然，是目前最方便的抓包应用。

抓包数据怎么看

1,取决于你抓包的层级。一般来说都是与网站之间交换的，未经格式化的较为数据。

2,可以从网卡抓取本机收发的数据，也有人把从浏览器或其它工作在顶层的软件获得的数据，成为抓包。

3,如果你所在的局域网比较原始，你还是可以尝试从网卡中获得广播的数据。

4,分析有现成的软件，主要针对无法加密的部分展开，即发送、接受方地址、时间、路径、内容体积等进行。不涉及内容的情况下是典型的被动数据分析。

抓包怎么分析

Wireshark是一个网络协议检测工具，支持Windows平台和Unix平台，我一般只在Windows平台下使用Wireshark，如果是Linux的话，我直接用tcpdump了，因为我工作环境中的Linux一般只有字符界面，且一般而言Linux都自带的tcpdump，或者用tcpdump抓包以后用Wireshark打开分析。

tcpdump是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpdump抓取其他主机MAC地址的数据包，必须开启网卡混杂模式，所谓混杂模式，用最简单的语言就是让网卡抓取任何经过它的数据包，不管这个数据包是不是发给它或者是它发出的。

分析抓包结果

正是江南好风景，落花时节又逢君。

残云收夏暑，新雨带秋岚。

青箬笠，绿蓑衣，斜风细雨不须归。

山气日夕佳，飞鸟相与还。

如何分析抓包数据

1.双击运行wireshark，点击左上角Capture选项图标，对抓包选项进行设置

2.选择网络环境，如果插着网线就选择“以太网”，如果使用无线连接，就选择“WLAN”。

3.找到“Hide Capture info dialog”选项，去掉前面的对号可以在抓包时显示一个动态统计数据包类型的窗口，可以根据需要选择。

4.其他的默认即可，别的功能可以在运行时根据需要更改，此处可以忽略，点击右下角“start”即可开始抓取数据包。

5.在主界面上可以看到抓取到的数据包，如果去掉了“Hide Capture info dialog”前面的对号，还会显示一个数据包统计窗口。

6.如果需要抓取指定类型的数据包，在工具栏下方Filter中输入类型即可。注意输入之后要按回车确认。

7.可以双击某一个数据包查看具体协议，端口，IP，数据报等具体内容。

8.抓包结束之后再主界面上点击左上角红色标志停止抓包即可

9.如果需要保存分析，点击左上角File，选择save即可。

抓包怎么分析出数据内容

包工具是拦截查看网络数据包内容的软件。抓包工具由于其可以对数据通信过程中的所有lP报文实施捕获并进行逐层拆包分析，一直是传统固网数通维护工作中罐常用的故障排查工具，业内流行的抓包软件有很多：Wire shark、SnifferPro、Snoop以及Tcpdump等各抓包软件界面，应用平台稍有差别外，基本功能大同小异。

使用方法：

1、安装抓包工具。

目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难,Sniffer,wireshark,WinNetCap.WinSock Expert 都是当前流行的抓包工具,我使用了一种叫做SpyNet3.12 的抓包工具，非常小巧,运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型，比如是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。

2、配置网络路由。

你的路由器有缺省网关吗？如果有，指向了哪里？在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的（除非你想搞瘫这台路由器）。在一些企业网里往往仅指出网内地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主机上吧（它不下地狱谁下地狱？当然这台主机的性能最好是高一点的，否则很容易被病毒冲击而亡）。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上，所有对外访问的网络包都会被分析到。

3、开始抓包。

抓包主机已经设置好了，网络里的数据包也已经送过来了，那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来，这些就是被捕获的数据包。

被捕获的数据包的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。

4、找出染毒主机。

从抓包的情况看，主机10.32.20.71值得怀疑。首先我们看一下目的IP地址，这些地址我们网络里存在吗？很可能网络里根本就没有这些网段。其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。

如何对抓包进行分析

泻药路由器上抓包折腾起来太累，个人更建议通过其他设备抓包给个手机抓路由器包的参考方式(已经实验过)1，手机打开热点，路由器中继这个热点2，手机安装开发工具箱，找到网络抓包这一栏3，手机打开数据网络，开始抓包4，你能看到数据包了(如果数据包很多的话会比较卡这是正常现象)电脑同理，原理就是让路由器的流量从你的设备上过一遍

怎么分析抓包数据

几点要注意的：

1.fiddler允许外部连接2.ie取消代理3.android设置代理。最后在程序加下这些代码Propertiesprop=System.getProperties()

;//proxyhostIPaddressStringproxyHost="X.X.X.X"

;//proxyportStringproxyPort="X"

;prop.put("proxySet","true")

;prop.put("proxyHost",proxyHost)

;prop.put("proxyPort",proxyPort);

计算机网络抓包数据怎么分析

可以用PC直连交换机那个口 等方法1、PC直连交换机那个口2、将该口镜像到交换机别的口，再PC连接4、Wireshark（前称Ethereal）是一个网络封包分析软件。

5、网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

6、Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。7、网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作，只是将场景移植到网络上，并将电线替换成网络线。

8、在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。

9、Ethereal的出现改变了这一切，在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。

10、Ethereal是全世界最广泛的网络封包分析软件之一。11、网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题12、开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。

抓包数据包分析

现实生活中多指：做“坏事”的时候现场给逮住发现了或者实说话露馅被别人当场抓到的意思

网络用语是：获取网络通讯时的数据包，对其中的数据进行分析。