网络抓包技术是一种用于捕获和分析网络数据包的技术手段。它能够帮助我们深入了解网络中的数据传输情况，对于网络故障排查、性能优化、安全监测等方面都具有重要意义。

网络抓包的工作原理通常是通过将网络接口设置为混杂模式，使其能够接收流经该接口的所有数据包。然后，使用专门的抓包软件或工具对这些数据包进行捕获和存储。

常见的网络抓包工具除了前面提到的 Wireshark 之外，还有 Tcpdump、Fiddler 等，国内的主要有科来网络。

为了方便大家使用，作者收集到百度网盘分享学习。
链接：https://pan.baidu.com/s/1uKUsQfIlWOxTNPvU8DewKQ?pwd=mf7v
提取码：mf7v

网络抓包技术的应用场景非常广泛：

• 网络故障排查：当网络出现连接中断、延迟过高、数据丢失等问题时，通过抓包可以查看数据包的传输情况，分析是否存在错误的数据包、重复的数据包或者数据包丢失的情况，从而找出故障的原因。例如，如果发现大量的重传数据包，可能意味着网络存在拥塞或者链路不稳定的问题。
• 性能优化：通过抓包分析，可以了解网络中各个应用程序的数据流量分布、数据包大小、传输时间等信息，从而发现性能瓶颈，并针对性地进行优化。比如，发现某个应用程序发送的数据包过大，导致传输效率低下，可以对其进行数据压缩或分包处理。
• 安全监测：可以检测到潜在的网络攻击、恶意软件通信等异常活动。例如，检测到来自未知源的大量扫描数据包，可能是在进行网络探测攻击；或者发现数据包中包含可疑的代码或指令，可能是恶意软件在通信。
• 协议分析与开发：对于开发新的网络协议或对现有协议进行改进，抓包技术能够帮助开发者获取真实的网络数据，分析协议的执行情况，验证协议的正确性和性能。

一、科来网络分析工具

科来网络分析系统是一款功能强大的网络分析工具，该系统适用于网络故障分析、数字安全取证、协议分析学习等场景，能帮助网络管理者快速查找和排除网络故障，找到网络瓶颈以提升网络性能，发现和解决各种网络异常危机以提高安全性，管理资源并统计和记录每个节点的流量与带宽，规范网络并查看各种应用、服务、主机的连接，监视网络活动以及分析各种网络协议、管理网络应用质量等。

具有以下特点和功能：

特点：

• 无需复杂部署，可安装在随行电脑中使用，能灵活、高效地帮助用户解决网络性能与安全方面的实际问题。
• 整合了行业领先的专家分析技术，对复杂网络提供精确分析，在网络安全、性能、故障等方面提供全面深入的数据依据。

功能：

• 故障诊断：自动诊断多种网络故障，自动定位故障点，分析故障原因并推荐解决方法。
• 流量分析：提供丰富的流量分析数据，可对整个网络、单个部门、单个 VLAN、单个 IP 和单个 MAC 进行统计分析。
• 网络连接和通讯监视：直观反映网络中机器的连接情况，实时监视网络活动。
• 网络异常分析：自动发现网络隐患，如自动检测网络中的蠕虫病毒、木马攻击等。
• 快速定位：能够快速精确定位网络故障，并提供相应解决方案。
• 安全预警：自动发现网络扫描，进行安全预警；定位攻击源，快速找到攻击者。
• 性能评估：有效评估网络性能，查找网络瓶颈，保障网络通讯质量和网络运营健康。
• 智能监测：可视化呈现网络应用/业务性能的运行情况。
• 协议分析：支持对众多网络协议的分析。
• 数据包分析：实时捕获、解码和分析数据包，时间精度达到微秒级，还可支持多种数据包文件格式并进行分析。可通过自定义协议，根据实际情况按以太网类型、IP 协议编号、TCP/UDP 等类型字段进行协议自定义。
• 提供分析方案：例如高精度分析方案、高性能分析方案、邮件分析方案、HTTP 分析方案、DNS 分析方案、FTP 分析方案、TCP 分析方案等，以满足不同网络管理者的个性化需求。
  
  选择正在通信的网卡，点开始进入详细页面：
  

二、Wireshark工具

Wireshark 是一款非常流行的网络封包分析工具，它能够截取各种网络数据包，并尽可能详细地显示数据包信息。
其主要特点和功能包括：
**详细的数据包信息展示：**可以显示数据包的编号、时间戳、源地址、目标地址、协议、长度以及数据包的具体内容等。
**多种协议解析：**几乎能解析所有的网络协议，从底层的数据链路层报文到上层的网络包及应用层的 HTTP 等。
**过滤器设置：**自带两种类型的过滤器，帮助在大量数据中迅速找到需要的信息。
**抓包过滤器：**用于在抓取数据包前设置，例如按协议、IP、端口等进行过滤。
**显示过滤器：**在抓取数据包后使用，可设置更具体的过滤条件来分析数据包。
应用广泛：适用于网络管理员检查网络问题、网络安全工程师检查资讯安全相关问题、软件测试工程师分析测试软件、开发人员为新的通讯协议除错以及普通用户学习网络协议知识等。

Wireshark 的使用步骤大致如下：
软件安装：从 wireshark 官网下载对应系统版本的软件并安装。如果是 win10 系统且安装后不显示网卡，需下载 win10pcap 兼容性安装包。
选择网卡：打开软件后，选择要进行抓包的网卡。
开始抓包：右键点击选定的网卡，选择“start capture”（开始捕获），然后执行需要抓包的操作。
过滤数据包：为避免无用数据包的干扰，可在过滤栏设置过滤条件，对数据包列表进行过滤。
分析数据包：在数据包列表中选择指定数据包，在数据包详细信息中查看数据包的所有详细内容，包括物理层、数据链路层、互联网层、传输层等各层协议的信息。
过滤器表达式有一定的规则，例如抓包过滤器的语法包含类型（如 host、net、port）、方向（如 src、dst）、协议（如 ether、ip、tcp、udp 等）以及逻辑运算符（如&&与、||或、！非）。显示过滤器也有相应的语法和实例，如比较操作符（==等于、!=不等于、>大于等）以及各种过滤条件的写法。
例如，常见的过滤表达式有：

• ip.addr == 192.168.1.104：显示源地址或目标地址为 192.168.1.104 的数据包列表。
• ip.src == 192.168.1.104：获取来源地址为 192.168.1.104 的数据包。
• ip.dst == 119.167.140.103：获取目的地址为 119.167.140.103 的数据包。
• ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45：获取目的地址为 119.167.140.103 或者 192.168.2.45 的数据包。
• ip.dst == 119.167.140.103 and ip.src == 192.168.2.101：获取目的地址为 119.167.140.103 且来源地址为 192.168.2.101 的数据包。
  

Wireshark 的界面主要分为几个部分：
菜单栏：包含各种功能选项。
工具栏：提供常用功能的快捷图标按钮。
过滤器：用于设置过滤条件。
数据包列表（packet list pane）：以表格形式显示捕获到的数据包的摘要信息，包括编号、时间截、源地址、目标地址、协议、长度和概况信息等。不同协议的数据包会以不同颜色区分显示。
数据包详细信息（packet details pane）：展示选定数据包的详细内容，分层显示数据包中各层协议的字段信息。
数据包字节区（dissector pane）：以十六进制和 ASCII 码的形式显示数据包的原始内容。

三、封包监听工具

封包监听工具是用于截取和分析网络中传输的数据包的软件。通过封包监听，用户可以查看数据包的详细内容，了解网络通信的情况，并可能对特定的数据包进行重复发送或修改等操作。

配置只显示模拟器的进程

抓包的目的分析

1.渗透测试
抓包得到应用的资产信息，比如IP、端口信息；
通过IP扫描其他资产，比如各种开发的端口、API接口、oss资源、云服务器；
根据信息做进一步的渗透。

2.逆向破解
反编译源码中查找相关资产信息；
源码中泄露的配置信息，如key；
分析设计的逻辑安全：不规范的加密、可绕过的策略、删除策略重新打包；