抓包工具使用简介

抓包工具wireshark使用简介

在wireshark安装包安装完成后，以管理员身份运行Wireshark.exe，进入wireshark主界面，如图1-1所示。

图1-1 wireshark主界面

在主界面上，在菜单栏中选择Capture->interface，在点击interface按钮弹出的对话框中点击start按钮，进入如图1-2所示界面。

图1-2启动wireshark

当您在客户端点击某路视频时，会出现如图1-3所示界面，目前我们播放视频采用的是UDP协议，你在抓包工具中看到的大部分数据包都是UDP数据包。此时如果你只想去查看给某台机器上发的数据包时，可以通过过滤条件进行过滤，比如我只想查看我给172.20.32.168这台机器上发送的数据包，那么你只需要在Filter后面输入

ip.dst==172.20.32.168即可，需要注意的是这里是“==”而不是“=”。多个条件之间用&&。

数据过滤操作如图1-4所示。

图1-3 视频数据展示界面

图1-4数据过滤界面

此时你看到的数据包就都是发给172.20.32.168的UDP数据包，此处需要说明的是如果你点击视频时播放不出来视频，那么是不会有持续的UDP数据包发给指定的客户端的，客户端控件播放不出来视频那就不是控件的问题了，因为就根本没有视频数据包发送到客户端。

如果你在抓包时发现有持续的数据包时，那么你想看一下你抓的数据包是否正常，能不能播放出来，那么也可以通过wireshark将抓的数据包保存成文件用VLC播放试一下，具体操作流程如下：

（1）点击某条视频数据，右键选择decode as（如图1-5），此时会弹出如图1-6所示界面；（2）在如图1-6所示的界面上选择RTP，点击OK，此时就会把所有的UDP数据包转换成RTP数据包，转换之后界面如图1-7所示；

（3）在图1-7所示的界面上，在菜单栏中选择Telephony，在下拉的菜单中选择RTP，在其子菜单中选择Stream analysis，会弹出如图1-8所示界面；

（4）在图1-8所示的界面上点击Savepayload按钮，进入视频保存页面（如图1-9），选择你保存的位置并设置保存的视频文件名；

（5）此时就会在保存的目录下生成出来对应的视频文件，此处需要说明的是视频文件不

需要后缀名，添加后缀名没有什么实质的意义。

（6）可以用VLC播放工具来播放保存的视频文件，如图1-10所示画面。

图1-5 视频文件保存操作步骤1

图1-6 视频文件保存操作步骤2

图1-7视频文件保存操作步骤3

图1-8视频文件保存操作步骤4

图1-9视频文件保存操作步骤5

图1-10视频文件保存操作步骤5

需要说明的是：

1、控件“边框是绿色的，里面是白色的”，当您在播放视频时出现这种现象时，您可以在

服务器端通过抓包工具（wireshark）抓指定客户端机器上的数据包，并采用上述过程来测试一下到底有没有视频数据发往测试的客户端，如果没有数据流，那么可能就是后台服务哪的问题（您得先保证相机正常能用）；如果有持续的视频数据流，那么在此处基本上就可以排除是后台服务的问题，这种情况下问题应该就会定位在视频控件这一块，解决流程如下：

（1）杀毒软件将安装包下的某些动态链接库给删除了，解决最简单的方法就是将安装目录加入到杀毒软件的白名单中去，通过将杀毒软件列入到白名单中去，基

本上可以排除动态链接库丢失问题（一般情况下不会有人去手动的删除里面的

东西），强烈建议你安装之后就将安装目录加入到白名单中去。

（2）显卡不支持宇视版本的安装包，需要您卸载之后重新安装VLC版本的安装包在进行测试；

（3）如果不是前两种问题，那么就需要根据具体问题用程序跟踪测试，另想办法，建议在出现以上问题时及时联系或者你也可以根据出现的现象寻找一下规律，

这样便于问题的定位和解决。--------属于高难度工作，需要您的配合。

2、控件安装好之后死活都播放不出来：您也可以通过上述办法进行测试和问题定位，通过

有无持续的视频流数据来判断是否，然后再行分析是哪一块的问题。

3、控件无法安装问题：可以用Microsoft Visual Studio 6.0自带的depend工具查看是不是那

个动态链接库不匹配，如果哪个动态链接库不匹配，则对应位置会用红色来表示，这时候安装就被报错（您上次安装不成功可能就是里面动态链接库不匹配，想通过代码比对工具来查看。）

Linux下抓包工具tcpdump应用详解

TCPDUMP简介 在传统的网络分析和测试技术中，嗅探器(sniffer)是最常见，也是最重要的技术之一。sniffer工具首先是为网络管理员和网络程序员进行网络分析而设计的。对于网络管理人员来说，使用嗅探器可以随时掌握网络的实际情况，在网络性能急剧下降的时候，可以通过sniffer 工具来分析原因，找出造成网络阻塞的来源。对于网络程序员来说,通过sniffer工具来调试程序。 用过windows平台上的sniffer工具(例如，netxray和sniffer pro软件)的朋友可能都知道，在共享式的局域网中，采用sniffer工具简直可以对网络中的所有流量一览无余！Sniffer 工具实际上就是一个网络上的抓包工具，同时还可以对抓到的包进行分析。由于在共享式的网络中，信息包是会广播到网络中所有主机的网络接口，只不过在没有使用sniffer工具之前，主机的网络设备会判断该信息包是否应该接收，这样它就会抛弃不应该接收的信息包，sniffer工具却使主机的网络设备接收所有到达的信息包，这样就达到了网络监听的效果。 Linux作为网络服务器，特别是作为路由器和网关时，数据的采集和分析是必不可少的。所以，今天我们就来看看Linux中强大的网络数据采集分析工具——TcpDump。 用简单的话来定义tcpdump，就是：dump the traffice on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。 作为互联网上经典的的系统管理员必备工具，tcpdump以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的东东之一。 顾名思义，TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。 tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。 普通情况下，直接启动tcpdump将监视第一个网络界面上所有流过的数据包。 －－－－－－－－－－－－－－－－－－－－－－－ bash-2.02# tcpdump

以太网常用抓包工具介绍_464713

v1.0 可编辑可修改 i RTUB_105_C1 以太网常用抓包工具介绍 课程目标： 课程目标1：了解常见抓包软件 课程目标2：掌握根据需要选择使用抓包软件并分析报文

v1.0 可编辑可修改 目录 第1章以太网常用抓包工具介绍.............................................................................................................. 1-1 1.1 摘要 ................................................................................................................................................ 1-1 1.2 简介 ................................................................................................................................................ 1-1 1.3 抓包工具介绍 ................................................................................................................................ 1-2 1.4 Sniffer使用教程 .......................................................................................................................... 1-3 1.4.1 概述 ..................................................................................................................................... 1-3 1.4.2 功能简介 ............................................................................................................................. 1-3 1.4.3 报文捕获解析 ..................................................................................................................... 1-4 1.4.4 设置捕获条件 ..................................................................................................................... 1-8 1.4.5 报文放送 ........................................................................................................................... 1-10 1.4.6 网络监视功能 ................................................................................................................... 1-12 1.4.7 数据报文解码详解 ........................................................................................................... 1-14 1.5 ethreal的使用方法 .................................................................................................................... 1-28 1.5.1 ethreal使用－入门 ......................................................................................................... 1-28 1.5.2 ethereal使用－capture选项 ......................................................................................... 1-30 1.5.3 ethereal的抓包过滤器 ................................................................................................... 1-31 1.6 EtherPeekNX ................................................................................................................................ 1-35 1.6.1 过滤条件设置 ................................................................................................................... 1-35 1.6.2 设置多个过滤条件 ........................................................................................................... 1-41 1.6.3 保存数据包 ....................................................................................................................... 1-45 1.6.4 分析数据包 ....................................................................................................................... 1-47 1.6.5 扩展功能 ............................................................................................................................. 1-1 1.6.6 简单分析问题的功能 ......................................................................................................... 1-5 1.6.7 部分解码功能 ..................................................................................................................... 1-9 1.6.8 案例 ..................................................................................................................................... 1-1 1.7 SpyNet ............................................................................................................................................ 1-1 1.7.1 使用简介 ............................................................................................................................. 1-1 1.7.2 使用步骤： ......................................................................................................................... 1-2 i

IGMP及抓包分析

IGMP IGMP 是Internet Group Management Protocol（互联网组管理协议）的简称。它是TCP/IP 协议族中负责IP 组播成员管理的协议，用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。 到目前为止，IGMP 有三个版本： 1、IGMPv1（由RFC 1112 定义） 2、IGMPv2（由RFC 2236 定义） 3、IGMPv3（由RFC 3376定义） 一、IGMPv1 1.1报文格式 1、版本： 版本字段包含IGMP版本标识，因此设置为1。 2、类型： 成员关系查询（0x11） 成员关系报告（0x12） 3、校验和 4、组地址： 当一个成员关系报告正被发送时，组地址字段包含组播地址。 当用于成员关系查询时，本字段为0，并被主机忽略。 1.2组成员加入过程 当一个主机希望接收一个组播组的数据，则发送成员加入报告给组播组。

IGMPv1 join包如下： 1.3查询与响应过程 路由器RTA（IGMP查询器）周期性地（默认60秒）向子网内所有主机（224.0.0.1代表子网内所有主机）发送成员关系查询信息。

所有主机收到IGMPv1成员关系查询信息，一主机首先向组播组发送IGMPv1成员关系报告。 组的其他成员监听到报告后抑制自己的成员关系报告发送。 1.4 抑制机制 当主机收到IGMP成员关系查询时，对它已经加入的每个组播组启动一个倒计数报告计时器。各个报告计时器初始值为从0到最大响应之间一个随机数，默认值是10秒。 计时器到时的主机则主动发送成员关系报告，目的地为该主机所属的组地址。 其它主机收到该成员关系报告，则抑制成员关系报告的发送，并删除计时器。 1.5 组成员离开过程 主机“默不作声”地离开组（不发送报告了）。 路由器发送成员关系查询信息。 路由器没有收到该组的IGMP报告，则再发送成员关系信息（3次查询周期过后）。 组播组超时，剪枝。 二、IGMPv2 2.1报文格式 1、类型 成员关系查询（0x11） 常规查询：用于确定哪些组播组是有活跃的，即该组是否还有成员在使用，常规查询地址由全零表示； 特定组查询：用于查询某具体组播组是否还有组成员。 版本2成员关系报告（0x16） 版本1成员关系报告（0x12） 离开组消息（0x17）

抓包工具演示

Wireshark抓包软件简单使用 wireshark是一款抓包软件，比较易用，在平常可以利用它抓包，分析协议或者监控网络。 一、抓包使用简单过程： Wireshark启动界面： 看到启动界面后，现在主要会用到这几个按钮：

2.点击“开始”获取抓取结果（抓取到的为未加密数据）

4.显示结果：

加密数据抓取： 抓取结果：

二、捕捉过滤器使用方法： Protocol（协议）: 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向）: 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地，则默认使用“src or dst”作为关键字。 例如，”host 10.2.2.2″与”src or dst host 10.2.2.2″是一样的。 Host(s): 可能的值：net, port, host, portrange. 如果没有指定此值，则默认使用”host”关键字。 例如，”src 10.1.1.1″与”src host 10.1.1.1″相同。 Logical Operations（逻辑运算）: 可能的值：not, and, or. 否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。 例如，

“not tcp port 3128 and tcp port 23″与”(not tcp port 3128) and tcp port 23″相同。“not tcp port 3128 and tcp port 23″与”not (tcp port 3128 and tcp port 23)”不同。 例子： tcp dst port 3128 //捕捉目的TCP端口为3128的封包。 ip src host 10.1.1.1 //捕捉来源IP地址为10.1.1.1的封包。 host 10.1.2.3 //捕捉目的或来源IP地址为10.1.2.3的封包。 ether host e0-05-c5-44-b1-3c //捕捉目的或来源MAC地址为e0-05-c5-44-b1-3c的封包。如果你想抓本机与所有外网通讯的数据包时，可以将这里的mac地址换成路由的mac 地址即可。 src portrange 2000-2500 //捕捉来源为UDP或TCP，并且端口号在2000至2500范围内的封包。 not imcp //显示除了icmp以外的所有封包。（icmp通常被ping工具使用） src host 10.7.2.12 and not dst net 10.200.0.0/16 //显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。 (src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8 //捕捉来源IP为10.4.1.12或者来源网络为10.6.0.0/16，目的地TCP端口号在200至10000之间，并且目的位于网络10.0.0.0/8内的所有封包。 src net 192.168.0.0/24 src net 192.168.0.0 mask 255.255.255.0 //捕捉源地址为192.168.0.0网络内的所有封包。

wireshark抓包分析实验报告

Wireshark抓包分析实验 若惜年 一、实验目的： 1.学习安装使用wireshark软件，能在电脑上抓包。 2.对抓出包进行分析，分析得到的报文，并与学习到的知识相互印证。 二、实验内容： 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据，分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文： IP报文分析： 从图中可以看出： IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符：0xd74b 标志：0x02 比特偏移：0 寿命：48 上层协议：TCP 首部校验和：0x5c12 源IP地址为：119.75.222.18 目的IP为：192.168.1.108

从图中可以看出： 源端口号：1891 目的端口号：8000 udp报文长度为：28 检验和：0x58d7 数据长度：20 bytes UDP协议是一种无需建立连接的协议，它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时，它构造一个DNS查询报文段并把它给UDP，不需要UDP之间握手，UDP为报文加上首部字段，将报文段交给网络层。

第一次握手： 从图中看出： 源端口号：56770 目的端口号：80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手： 从图中看出： 源端口号是：80 目的端口号为：56770 序列号为：0 ack为：1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手： 从图中看出： 源端口：56770 目的端口：80 序列号为：1 ACK为：1 首部长为：20bytes Acknowledgement为1表示包含确认的报文 所以，看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议，在一个应用进程可以开始向另一个应用进程发送数据前，这两个进程必须先握手，即它们必须相互发送预备文段，建立确保传输的参数。

WIN8系统抓包工具使用介绍

抓包过程简要说明 对于工程上某些需要确认网管下发到设备上的数据或者设备上报给网管的数据正确性，需要对网卡进行数据抓包分析。现将详细的抓包方法进行说明（此版本抓包工具可用于windows server2003、WIN7和windows server2008操作系统上，其他的没试用过） 说明： windows server2008操作系统有两种，一种32位，一种64位。 查看操作系统位数的方法有两种（输入命令后可能会等待5~20s时间）： 1、运行---输入“cmd”---在命令提示符窗口中输入“systeminfo”---找到其中的“System type:（系统类型）”对应的就是了。 2、运行DXDIAG就可以查看系统位数了。x86代表32位,X64代表64位! 该抓包工具根据操作系统位数有以下区别，x86为32位操作系统，x64为64位操作系统。本文档以32位操作系统为例进行说明。 步骤一：将附件的netmon_34.rar解压到任何位置，例如D:\ 步骤二：运行D:\netmon_3\ NM34_x86.exe文件，执行安装，步骤中全部选择默认安装即可。安装完成后，桌面会生成Microsoft Network Monitor 3.4的快捷图标。 步骤三：双击运行Microsoft Network Monitor 3.4，在菜单栏选择Tools->Options..可以看到下面的面板，在Faster Parsing上点击右键选择Create->Create From Selected,

步骤四：在Create New Parser Profile面板中可以自己命名Name（本例中命名为fiberhome_set，可自定义）, 并选中路径列表中的第2项，然后选择Open Folder,

DNS抓包分析

TCP/IP原理与应用课程作业一对DNS域名系统的抓包分析 姓名：XXX 学号：XXXXXXXXXX 学院：计算机科学与工程

一、实验目的 通过网络抓包试验，深刻理解TCP/IP协议簇中DNS域名系统的使用方式与报文具体格式与含义，加强对课程的理解与应用。 二、相关原理 2.1 DNS的定义 DNS 是域名系统(Domain Name System) 的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS 命名用于Internet 等TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。 2.2 DNS的构成 在IPV4中IP是由32位二进制数组成的，将这32位二进制数分成4组每组8个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其范围是在0～255之间。因为，8个二进制数转化为十进制数的最大范围就是0～255。现在已开始试运行、将来必将代替IPv4的IPV6中，将以128位二进制数表示一个IP地址。 2.3 DNS的查询 DNS查询可以有两种解释，一种是指客户端查询指定DNS服务器上的资源记录（如A记录），另一种是指查询FQDN名的解析过程。 一、查询DNS服务器上的资源记录 您可以在Windows平台下，使用命令行工具，输入nslookup，返回的结果包括域名对应的IP地址（A记录）、别名（CNAME记录）等。除了以上方法外，还可以通过一些DNS查询站点如国外的国内的查询域名的DNS信息。 二、FQDN名的解析过程查询 若想跟踪一个FQDN名的解析过程，在Linux Shell下输入dig www +trace，返回的结果包括从跟域开始的递归或迭代过程，一直到权威域名服务器。 2.4 DNS的报文格式 DNS报文的首部：

802.11抓包分析

802.11抓包分析 1.实验目的 分析802.11协议，了解802.11的帧格式 2.实验环境及工具 操作系统：ubuntu 实验工具：WireShark 3.实验原理 （1）802.11MAC层数据帧格式： Bytes 2 2 6 6 6 2 0-2312 4 Bits 2 2 4 1 1 1 1 1 1 1 1 Version：表明版本类型，现在所有帧里面这个字段都是0 Type：指明数据帧类型，是管理帧，数据帧还是控制帧,00表示管理帧，01表示控制帧，10表示数据帧 Subtype：指明帧的子类型 ,Data=0000,Data+CF-ACK=0001，Data+CF-Poll=0010, Data+CF-ACK+CF-Poll=0011,Nulldata=0100,CF-ACK=0101, CF-Poll=0110,Data+CF-ACK+CF-Poll=0111,QoS Data=1000, Qos Data+CF-ACK=1001,QoS Data+CF-Poll=1010, QoS Data+CF-ACK+CF-Poll=1011,QoS Null =1100, QoS CF-ACK=1101,QoS CF-Poll=1110,QoS Data+CF-ACK+CF-Poll=1111 To DS/From DS：这两个数据帧表明数据包的发送方向，分四种情况： 若数据包To DS为0，From DS为0，表明该数据包在网络主机间传输 若数据包To DS为0，From DS为1，表明该数据帧来自AP

若数据包To DS为1，From DS为0，表明该数据帧发送往AP 若数据包To DS为1，From DS为1，表明该数据帧是从AP发送往AP

实验一 wireshark抓包工具使用

实验一wireshark抓包工具使用[实验目的] 学习wireshark抓包工具的使用 了解wireshark抓包工具的功能 通过学习，进一步理解协议及网络体系结构思想 [实验原理] Wireshark是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。 主要应用： 网络管理员用来解决网络问题 网络安全工程师用来检测安全隐患 开发人员用来测试协议执行情况 用来学习网络协议 [实验内容] 下载WIRESHARK，学习工具的使用和功能。

Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。 你可以把网络包分析工具当成是一种用来测量有什么东西从网线上进出的测量工具，就好像使电工用来测量进入电信的电量的电度表一样。（当然比那个更高级） 过去的此类工具要么是过于昂贵，要么是属于某人私有，或者是二者兼顾。 Wireshark出现以后，这种现状得以改变。 Wireshark可能算得上是今天能使用的最好的开元网络分析软件。 工作流程 （1）确定Wireshark的位置。如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些与自己无关的数据。 （2）选择捕获接口。一般都是选择连接到Internet网络的接口，这样才可以捕获到与网络相关的数据。否则，捕获到的其它数据对自己也没有任何帮助。 （3）使用捕获过滤器。通过设置捕获过滤器，可以避免产生过大的捕获文件。这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。 （4）使用显示过滤器。通常使用捕获过滤器过滤后的数据，往往还是很复杂。为了使过滤的数据包再更细致，此时使用显示过滤器进行过滤。 （5）使用着色规则。通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话，可以使用着色规则高亮显示。 （6）构建图表。如果用户想要更明显的看出一个网络中数据的变化情况，使用图表的 形式可以很方便的展现数据分布情况。

抓包工具使用简介

抓包工具wireshark使用简介 在wireshark安装包安装完成后，以管理员身份运行Wireshark.exe，进入wireshark主界面，如图1-1所示。 图1-1 wireshark主界面 在主界面上，在菜单栏中选择Capture->interface，在点击interface按钮弹出的对话框中点击start按钮，进入如图1-2所示界面。 图1-2启动wireshark 当您在客户端点击某路视频时，会出现如图1-3所示界面，目前我们播放视频采用的是UDP协议，你在抓包工具中看到的大部分数据包都是UDP数据包。此时如果你只想去查看给某台机器上发的数据包时，可以通过过滤条件进行过滤，比如我只想查看我给172.20.32.168这台机器上发送的数据包，那么你只需要在Filter后面输入

ip.dst==172.20.32.168即可，需要注意的是这里是“==”而不是“=”。多个条件之间用&&。 数据过滤操作如图1-4所示。 图1-3 视频数据展示界面 图1-4数据过滤界面 此时你看到的数据包就都是发给172.20.32.168的UDP数据包，此处需要说明的是如果你点击视频时播放不出来视频，那么是不会有持续的UDP数据包发给指定的客户端的，客户端控件播放不出来视频那就不是控件的问题了，因为就根本没有视频数据包发送到客户端。 如果你在抓包时发现有持续的数据包时，那么你想看一下你抓的数据包是否正常，能不能播放出来，那么也可以通过wireshark将抓的数据包保存成文件用VLC播放试一下，具体操作流程如下： （1）点击某条视频数据，右键选择decode as（如图1-5），此时会弹出如图1-6所示界面；（2）在如图1-6所示的界面上选择RTP，点击OK，此时就会把所有的UDP数据包转换成RTP数据包，转换之后界面如图1-7所示； （3）在图1-7所示的界面上，在菜单栏中选择Telephony，在下拉的菜单中选择RTP，在其子菜单中选择Stream analysis，会弹出如图1-8所示界面； （4）在图1-8所示的界面上点击Savepayload按钮，进入视频保存页面（如图1-9），选择你保存的位置并设置保存的视频文件名； （5）此时就会在保存的目录下生成出来对应的视频文件，此处需要说明的是视频文件不

数据包抓包分析

数据链路层数据包抓包分析 实验内容 （1）安装Wireshark软件。 （2）掌握抓包软件的使用 （3）掌握通过抓包软件抓取帧并进行分析的办法 实验步骤 （1）常用的抓包软件包括Sniffer、NetXRay、Wireshark (又名EtheReal)。 我们采用免费的Wireshark，可以从https://www.wendangku.net/doc/2010154156.html,或其他网站下载。安装完成后，Wireshark的主界面和各模块功能如下： 命令菜单（command menus）：最常用菜单命令有两个：File、Capture。File菜单允许你保存捕获的分组数据或打开一个已被保存的捕获分组数据文件。Capture菜单允许你开始捕获分组。 显示筛选规则（display filter specification）：在该字段中，可以填写协议的名称或其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。 捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：Wireshark赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、分组中所包含的协议说明信息。在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的头部详细信息。包括：与以太网帧有关的信息，与包含在该分组中的IP数据报有关的信息。如果利用TCP或UDP承载分组， Wireshark也会显示TCP或UDP协议头部信息。最后，分组最高层协议的头部字段也会被显示。 分组内容窗口（packet content）：以ASCII码和十六进制两种格式显示被捕获帧的完整内容。（2）下面我们进行抓包练习。 在capture菜单中选中options,可以设置抓包选项，如下图所示，这里我们需要选

抓包工具学习总结

抓包工具学习 一、配置镜像端口方法：（机换器型号：S2008） 方法一： 1、打开串口，把串口线接入交换机端口 2、从串口“选项-会话选项”把“波特率设为9600” 3、按确认键 4、输入system-view 5、输入monitor-port e0/8 //8指的是PC线接到交换机的端口号（如果要撤销该端口使用命令： (undo port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8) (undo monitor-port e0/8)，如果需查看端口是否成功用该命令：display mirror） 6、port mirror Ethernet 0/1 to Ethernet 0/2 //指的是盒接到交换机1到2之间的端口号都可 以抓包 7、配置完后启动Ethereal抓包 方法二： 可以一次性定义镜像和被镜像端口 port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 //0/1 to Ethernet 0/2被镜像端口号，0/8指PC接到交换机端口号 二、抓包工具如何使用： 1、抓包工具基础功能介绍 从本机上双击Ethereal工具，在工具栏目点击capture->Interfaces选项界面 Packets/s 指的是每秒钟抓包的个数。Packets 指抓包总数量，点击options进入抓包过虑条件页面，Interface 选择本机网卡，IP address 指本机IP；capture packets in promiscuous mods 指的混合模式抓包；capture Filter 指是输入过虑条件；file 指定包存放路径；update list of packets in real time 指抓包过程中“实时更新”；Automatic scrolling in live capture 指以滚动方式显示；Hide capture info dialog 指显示TCP/UDP/ICMP/ARP等信息点击start开始抓包；cancle 退出抓包 2、抓包前过虑使用命令： 在capture->options->capture Filter对应框输入： Host 119.1.1.180 //指的是抓180机顶盒包 Ether host 00:07:63:88:88:08 //在没IP情况下抓盒子包，比如DHCP还未给机顶盒分配到IP时，此时需要抓包 Port 33200 //指指定端口抓包 Port 554 //指rtsp包 Port 123 //指NTP服务器包 (Port 33200 || port 8082 ) && host 119.1.1.180 //指抓33200端口同时也抓8082端口包，同时还抓180盒子包 Host 238.255.2.2 //指抓一个组播流包

Wireshark抓包工具计算机网络实验

实验一 Wireshark使用 一、实验目的 1、熟悉并掌握Wireshark的基本使用； 2、了解网络协议实体间进行交互以及报文交换的情况。 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。三、预备知识 要深入理解网络协议，需要观察它们的工作过程并使用它们，即观察两个协议实体之间交换的报文序列，探究协议操作的细节，使协议实体执行某些动作，观察这些动作及其影响。这种观察可以在仿真环境下或在因特网这样的真实网络环境中完成。 Wireshark是一种可以运行在Windows, UNIX, Linux等操作系统上的分组嗅探器，是一个开源免费软件，可以从https://www.wendangku.net/doc/2010154156.html,下载。 运行Wireshark程序时，其图形用户界面如图2所示。最初，各窗口中并无数据显示。Wireshark的界面主要有五个组成部分： 命令和菜单 协议筛选框 捕获分组 列表 选定分组 首部明细 分组内容 左：十六进制 右：ASCII码 图1

●命令菜单（command menus）：命令菜单位于窗口的最顶部，是标准的下拉式菜单。 ●协议筛选框（display filter specification）：在该处填写某种协议的名称，Wireshark 据此对分组列表窗口中的分组进行过滤，只显示你需要的分组。 ●捕获分组列表（listing of captured packets）：按行显示已被捕获的分组内容，其中包括：分组序号、捕获时间、源地址和目的地址、协议类型、协议信息说明。单击某一列的列名，可以使分组列表按指定列排序。其中，协议类型是发送或接收分组的最高层协议的类型。 ●分组首部明细（details of selected packet header）：显示捕获分组列表窗口中被选中分组的首部详细信息。包括该分组的各个层次的首部信息，需要查看哪层信息，双击对应层次或单击该层最前面的“＋”即可。 ●分组内容窗口（packet content）：分别以十六进制（左）和ASCII码（右）两种格式显示被捕获帧的完整内容。 四、实验步骤 1.启动Web浏览器（如IE）； 2.启动Wireshark； 3.开始分组捕获：单击工具栏的按钮，出现如图3所示对话框，[options]按钮可以进行系统参数设置，在绝大部分实验中，使用系统的默认设置即可。当计算机具有多个网卡时，选择其中发送或接收分组的网络接口（本例中，第一块网卡为虚拟网卡，第二块为以太网卡）。单击“Start”开始进行分组捕获；

网络抓包工具Wireshark介绍及使用方法

网络抓包工具Wireshark介绍及使用方法 Wireshark 主界面的操作菜单 File 打开文件 Open 打开文件 Open Recent 打开近期访问过的文件 Merge… 将几个文件合并为一个文件 Close 关闭此文件 Save As… 保存为… File Set 文件属性 Export 文件输出 Print… 打印输出 Quit 关闭 Edit编辑 Find Packet… 搜索数据包 Find Next 搜索下一个 Find Previous 搜索前一个 Mark Packet (toggle) 对数据包做标记（标定）Find Next Mark 搜索下一个标记的包 Find Previous Mark 搜索前一个标记的包 Mark All Packets 对所有包做标记 Unmark All Packets 去除所有包的标记 Set Time Reference (toggle) 设置参考时间（标定）Find Next Reference 搜索下一个参考点 Find Previous Reference 搜索前一个参考点Preferences 参数选择 View 视图 Main Toolbar 主工具栏

Filter Toolbar 过滤器工具栏 Wireless Toolbar 无线工具栏 Statusbar 运行状况工具栏 Packet List 数据包列表 Packet Details 数据包细节 Packet Bytes 数据包字节 Time Display Format 时间显示格式 Name resolution 名字解析（转换：域名/IP地址，厂商名/MAC地址，端口号/端口名）Colorize Packet List 颜色标识的数据包列表 Auto Scroll in Live Capture 现场捕获时实时滚动 Zoom In 放大显示 Zoom Out 缩小显示 Normal Size 正常大小 Resize All Columns 改变所有列大小 Expand Sub trees 扩展开数据包内封装协议的子树结构 Expand All 全部扩展开 Collapse All 全部折叠收缩 Coloring Rules… 对不同类型的数据包用不同颜色标识的规则 Show Packet in New Window 将数据包显示在一个新的窗口 Reload 将数据文件重新加 Go 运行 Back 向后运行 Forward 向前运行 Go to packet… 转移到某数据包 Go to Corresponding Packet 转到相应的数据包 Previous Packet 前一个数据包 Next Packet 下一个数据包 First Packet 第一个数据包 Last Packet 最后一个数据包

抓包实例分析实验

抓包实例分析 一．实验目的 1.初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。 2.通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、UDP、IP、SMTP、POP、FTP、TLS等。 3.进一步培养理论联系实际，知行合一的学术精神。 二．实验原理 1.用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。 2.查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。 3.根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。 三．实验环境 1.系统环境：Windows 7 Build 7100 2.浏览器：IE8 四．Wireshark：V ：V 实验步骤 1.Wireshark简介 Wireshark（原Ethereal）是一个网络封包分析软件。其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。其使用目的包括：网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的相关知识……当然，有的人也会用它来寻找一些敏感信息。 值得注意的是，Wireshark并不是入侵检测软件（Intrusion Detection Software,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析

Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。 2.实例 实例1：计算机是如何连接到网络的 一台计算机是如何连接到网络的其间采用了哪些协议Wireshark将用事实告诉我们真相。如图所示： 图一：网络连接时的部分数据包 如图，首先我们看到的是DHCP协议和ARP协议。 DHCP协议是动态主机分配协议 (Dynamic Host Configuration Protocol)。它的前身是BOOTP。BOOTP可以自动地为主机设定TCP/IP环境，但必须事先获得客户端的硬件地址，而且，与其对应的IP地址是静态的。DHCP是 BOOTP 的增强版本，包括服务器端和客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。 ARP协议是地址解析协议 (Address Resolution Protocol)。该协议将IP地址变换成物理地址。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP 地址转换成为48位以太网的地址。这就需要在互连层有一组服务将IP地址转换为相应物理地址，这组协议就是ARP协议。 让我们来看一下数据包的传送过程： 数据包：当 DHCP 客户端（本地PC）第一次登录网络的时候，它会网络发出一个 DHCP DISCOVER 封包。因为客户端还不知道自己属于哪一个网络，所以封包的来源地址会为，而目的地址则，然后再附上 DHCP discover 的信息，向网络进行广播。 数据包：当 DHCP 服务器（本地路由器）监听到客户端发出的 DHCP discover 广播后，它会从那些还没有租出的地址范围内，选择最前面的空置 IP ，连同其它 TCP/IP 设定，响应给客户端一个 DHCP OFFER 封包。 数据包：客户端向网络发送一个 ARP 封包，查询服务器物理地址。 数据包：服务器端返回一个ARP 封包，告诉客户端它的物理地址。 数据包：由于Windows 7 支持IP V6 ，所以DHCP V6协议也开始工作。