虛拟機怎麼抓端口的包(怎麼在虛拟機上抓包)

biang 中華百科 2025-04-28 995

本文目錄

抓包怎麼分析數據
網絡抓包工具怎麼用
如何查看虛拟機的端口

抓包怎麼分析數據

問題一：抓包抓到的數據，怎麼分析啊 5分 1,取決于你抓包的層級。一般來說都是與網站之間交換的，未經格式化的較為數據。

2,可以從網卡抓取本機收發的數據，也有人把從浏覽器或其它工作在頂層的軟件獲得的數據，成為抓包。

3,如果你所在的局域網比較原始，你還是可以嘗試從網卡中獲得廣播的數據。

4,分析有現成的軟件，主要針對無法加密的部分展開，即發送、接受方地址、時間、路徑、内容體積等進行。不涉及内容的情況下是典型的被動數據分析。

問題二：如何解析抓包的數據wireshark首先我們打開wireshark軟件的主界面，在主界面上選擇網卡，然後點擊start。wireshark即進入抓包分析過程。在本篇我們選擇以太網，進行抓包。

接下來再界面我們可以看到wireshark抓到的實時數據包。我們對數據包的各個字段進行解釋。

1.No:代表數據包标号。

2.Time：在軟件啟動的多長時間内抓到。

3.Source：來源ip。

4.Destination:目的ip。

5.Protocol：協議。

6.Length:數據包長度。

7.info：數據包信息。

接下來我們點擊解析後的某一條數據可以查看數據包的詳細信息。

在抓包過程中，我們可以點擊圖标啟動或者停止。來啟動或者停止抓取數據包。

接下來我們将簡單介紹Filter處，對來源Ip以及目的Ip的過濾表達式的寫法。

首先我們在Filter處填寫ip.addr eq 192.168.2.101。表示獲取來源ip以及目的ip都是192.168.2.101的數據包。（此處解釋 eq換成==同樣的效果）

在Filter處填寫：ip.src== 192.168.2.101。表示獲取來源地址為192.168.2.101的數據包。

在Filter處填寫:ip.dst== 119.167.140.103。表示獲取目的地址為119.167.140.103的數據包。

在Filter處填寫:ip.dst== 119.167.140.103 or ip.dst== 192.168.2.45。表示獲取目的地址為119.167.140.103或者192.168.2.45的數據包。（此方法舉例主要說明or的用法。在or前後可以跟不同的表達式。）

在Filter處填寫:ip.dst== 119.167.140.103 and ip.src== 192.168.2.101。表示獲取目的地址為119.167.140.103且來源地址為192.168.2.101的數據包。（此方法舉例主要說明and的用法）

問題三：怎樣看wireshark抓包的數據啟動wireshark後，選擇工具欄中的快捷鍵（紅色标記的按鈕）即可Start a new live capture。

主界面上也有一個interface list（如下圖紅色标記1），列出了系統中安裝的網卡，選擇其中一個可以接收數據的的網卡也可以開始抓包。

在啟動時候也許會遇到這樣的問題：彈出一個對話框說 NPF driver沒有啟動，無法抓包。在win7或Vista下找到C:\system\system32下的cmd.exe以管理員身份運行，然後輸入 net start npf，啟動NPf服務。

重新啟動wireshark就可以抓包了。

抓包之前也可以做一些設置，如上紅色圖标記2，點擊後進入設置對話框，具體設置如下：

Interface：指定在哪個接口（網卡）上抓包（系統會自動選擇一塊網卡）。

Limit each packet：限制每個包的大小，缺省情況不限制。

Capture packets in promiscuous mode：是否打開混雜模式。如果打開，抓取所有的數據包。一般情況下隻需要監聽本機收到或者發出的包，因此應該關閉這個選項。

Filter：過濾器。隻抓取滿足過濾規則的包。

File：可輸入文件名稱将抓到的包寫到指定的文件中。

Use ring buffer：是否使用循環緩沖。缺省情況下不使用，即一直抓包。循環緩沖隻有在寫文件的時候才有效。如果使用了循環緩沖，還需要設置文件的數目，文件多大時回卷。

Update list of packets in real time：如果複選框被選中，可以使每個數據包在被截獲時就實時顯示出來，而不是在嗅探過程結束之後才顯示所有截獲的數據包。

單擊“OK”按鈕開始抓包，系統顯示出接收的不同數據包的統計信息，單擊“Stop”按鈕停止抓包後，所抓包的分析結果顯示在面闆中，如下圖所示：

為了使抓取的包更有針對性，在抓包之前，開啟了QQ的視頻聊天，因為QQ視頻所使用的是UDP協議，所以抓取的包大部分是采用UDP協議的包。

3、對抓包結果的說明

wireshark的抓包結果整個窗口被分成三部分：最上面為數據包列表，用來顯示截獲的每個數據包的總結性信息；中間為協議樹，用來顯示選定的數據包所屬的協議信息；最下邊是以十六進制形式表示的數據包内容，用來顯示數據包在物理層上傳輸時的最終形式。

使用wireshark可以很方便地對截獲的數據包進行分析，包括該數據包的源地址、目的地址、所屬協議等。

上圖的數據包列表中，第一列是編号（如第1個包），第二列是截取時間（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是這個包使用的協議（這裡是UDP協議），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。

中間的是協議樹，如下圖：

通過此協議樹可以得到被截獲數據包的更多信息，如主機的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口号（user datagram protocol）以及UDP協議的具體内容（data）。

最下面是以十六進制顯示的數據包的具體内容，如圖：

這是被截獲的數據包在物理媒體上傳輸時的最終形式，當在協議樹中選中某行時，與其對應的十六進制代碼同樣會被選中，這樣就可以很方便的對各種協議的數據包進行分析。

4、......>>

問題四：如何分析數據包判斷網絡故障從網絡抓包是可以分析出很多東西，其中一項就是用來做排錯。

根據個人的實際經驗，用抓包來排錯有分為幾種情況：

1、通過數據包的有無來判斷故障，一般用于防火牆策略調試等場景，在防火牆上進行抓包，或交換機上鏡像抓包，或者這交換機内嵌抓包功能。這種抓包無需進行過多分析。

2、網絡故障，已經明确網絡設備配置不存在問題的情況下，通過抓包來判斷問題，我把這主要分為行為判斷和協議判斷。

1）最常見的是通過抓包數量來判定網絡行為的是否正常，比如ARP病毒爆發一定會收到大量ARP數據包；攻擊行為也很多時候體現為大量數據包（但是一般判斷這種攻擊行為抓包不會放在第一步，隻是在确定攻擊特征時需要抓包）；當然還有其他很多情況，适用于通過抓包數量來分析的。

2）通信質量判斷，抓包存在大量的重傳，此時通信質量一般都不太好。另外有視頻和語音的應用場景中，有時需要通過時間統計來判斷通信毛刺，來分析定位視頻和語音通信質量問題。

3）協議判斷，比如win2008和win2003通信時因為window

scale不兼容，導緻窗口過小，而程序設計适當時，通信變動極其緩慢。這些判斷都是建立在抓包協議分析的基礎上的；另外不同廠商SIP通信對接也有可能會用到協議分析，其中一種方式就是抓包分析。

綜合而言，協議分析時要求比較高，很多人都可以說把基礎學好，但是對應實際工作多年的人，TCP/IP的協議學習一般都是多年前的事情，而且不同操作系統，對于協議棧的實現是有區别的，這部分析的工作一般都是出現問題後有針對性查資料來解決的。

說了這麼多，針對抓包分析我個人的意見是：排查問題關鍵是思路，真的用到協議層判斷的場景相對而言還是比較少，初學這不必過分糾結。但是從另外一個方面來看，能深入協議層進行排錯的網工，都是具備鑽研精神的，屬于高級排錯的一部分。

問題五：怎麼通過wireshark分析 Wireshark一般在抓包的時候無需過濾，直接在數據分析時候過濾出來你想要的數據就成了。

1.具體為Capture->Interface->(選擇你的網卡)start

這時候數據界面就顯示了當前網卡的所有數據和協議了。

2.下來就是找到我們想要的數據

教你一些技巧，比如我們要找ip地址為192.168.2.110的交互數據

可以在 Filter:裡面填寫 ip.addr== 192.168.2.110（回車或者點Apply就OK）

如果我們隻想抓TCP的 ip.addr== 192.168.2.110&& tcp(注意要小寫)

如果不想看到ACK ip.addr== 192.168.2.110&& tcp&& tcp.len!= 0

如果要看數據包中含有5252的值的數據（注意此處為16進制）

ip.addr== 192.168.2.110&& tcp&& tcp.len!= 0&&(data.data contains 5252)

3.含有很多過濾方法可以點擊Express，裡面有一些選項，自己多試試。

用好一個工具很重要，但要長期的積累才行，自己多使用，多看點教程就OK。

問題六：wireshark軟件抓包數據怎麼查看下載wireshark軟件，目前有中文版，為了方便演示，就用中文版的。當然，英文版本的是主流。

打開wireshark軟件，運行該軟件，進入其界面。wireshark軟件的界面布局合理，很精簡。

接下來，要選擇wireshark的抓包接口。雙擊接口列表項，于是進入了抓包接口的設置界面。

選擇你的電腦現在所使用的網卡。比如，現在這裡是使用無線網卡，接口列表上有數字在跳動就是。

點擊開始，就進入到抓包的界面，于是開始進行抓包。該界面顯示了抓包的動态，記錄了抓包的過程。

抓包完成後，就點擊停止抓包的按鈕，就是紅色打叉的那個。

最後選擇保存按鈕，選擇保存的位置。保存的文件以後都可以用wireshark打開，來進行曆史性的分析。

問題七：如何查看抓包數據對于标準的Http返回，如果标明了Content-Encoding:Gzip的返回，在wireshark中能夠直接查看原文。由于在移動網絡開發中，一些移動網關會解壓顯式标明Gzip的數據，以防止手機浏覽器得到不能夠解壓的Gzip内容，所以，很多移動開發者選擇了不标準的Http頭部。也就是說，Http返回頭部并沒有按标準标Content-Encoding:Gzip屬性。這樣就導緻在wireshark中無法直接查看。

這時，将抓包得到的數據以raw形式存為文件，再使用UE以16進制查看，去掉文件中非Gzip壓縮的數據，就可以将文件用Gzip解壓工具解壓後查看原文了。Gzip數據以1F8B開頭，可以以此來劃分文件中的Gzip和非Gzip數據。

問題八：如何利用網絡抓包工具得到的數據怎麼解析tcp/ip Telnet協議是TCP/IP協議族中的一員，是Internet遠程登陸服務的标準協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序，用它連接到服務器。終端使用者可以在telnet程序中輸入命令，這些命令會在服務器上運行，就像直接在服務器的控制台上輸入一樣。可以在本地就能控制服務器。要開始一個telnet會話，必須輸入用戶名和密碼來登錄服務器。Telnet是常用的遠程控制Web服務器的方法。

一.準備工作

虛拟機Virtual Box(Telnet服務端)

--安裝Windows XP SP3操作系統

------開啟了Telnet服務

------添加了一個賬戶用于遠程登錄,用戶名和密碼都是micooz

宿主機Windows 8.1 Pro(Telnet客戶端)

--安裝了分析工具Wireshark1.11.2

--安裝了Telnet客戶端程序

PS:虛拟機網卡選用橋接模式

問題九：wireshark軟件抓包數據怎麼查看 wireshark是捕獲機器上的某一塊網卡的網絡包，當你的機器上有多塊網卡的時候，你需要選擇一個網卡。

點擊Caputre->Interfaces..出現下面對話框，選擇正确的網卡。然後點擊Start按鈕,開始抓包

WireShark主要分為這幾個界面

1. Display Filter(顯示過濾器)，用于過濾

2. Packet List Pane(封包列表)，顯示捕獲到的封包，有源地址和目标地址，端口号。顔色不同，代表

3. Packet Details Pane(封包詳細信息),顯示封包中的字段

4. Dissector Pane(16進制數據)

5. Miscellanous(地址欄，雜項)

問題十：wireshark完成抓包後，怎麼分析你直接抓會有大量大量無用的幹擾包（比如你的ARP請求，你電腦的其他軟件的後台更新等等），建議你做個過濾器，隻抓取你本機到新浪的會話（或者隻抓取HTTP協議），然後所得的數據包都是你想要的，這整個包就是從你發起訪問到新浪服務器回複給你的數據包

網絡抓包工具怎麼用

點開用會抓取你電腦經過網卡的數據包分為 tcp udp ip arp的數據包然後自己分析

怎麼用網絡抓包工具最好是有流程的

如果需要專業一點請用

ethereal（英文）不是超簡單

sniffer（有中文漢化的）也不錯，有許多人說是最強的，但我還是認為ethereal最簡單好用

抓包工具wireshark怎麼用

這裡有教程,一看就懂blog.jobbole/70907/

抓包工具是幹什麼的？如何使用

抓數據包的，可以用來分析網絡流量，可以用來破譯抓來的數據，比如密碼之類的。網上應該有相關教程，自己研究

如何使用抓包工具？為什麼要抓包

抓包主要抓取流量，用于分析，如網絡診斷、流量分析等等可以試試基于進程抓包QPA工具

如何用抓包工具分析出有用的網絡數據 5分

這些内容都是加密的，抓包是分析不出來的！！

如何使用抓包工具

開始界面

wireshark是捕獲機器上的某一塊網卡的網絡包，當你的機器上有多塊網卡的時候，你需要選擇一個網卡。

點擊Caputre->Interfaces..出現下面對話框，選擇正确的網卡。然後點擊"Start"按鈕,開始抓包

Wireshark窗口介紹

WireShark主要分為這幾個界面

1. Display Filter(顯示過濾器)，用于過濾

2. Packet List Pane(封包列表)，顯示捕獲到的封包，有源地址和目标地址，端口号。顔色不同，代表

3. Packet Details Pane(封包詳細信息),顯示封包中的字段

4. Dissector Pane(16進制數據)

5. Miscellanous(地址欄，雜項)

使用過濾是非常重要的，初學者使用wireshark時，将會得到大量的冗餘信息，在幾千甚至幾萬條記錄中，以至于很難找到自己需要的部分。搞得暈頭轉向。

過濾器會幫助我們在大量的數據中迅速找到我們需要的信息。

過濾器有兩種，

一種是顯示過濾器，就是主界面上那個，用來在捕獲的記錄中找到所需要的記錄

一種是捕獲過濾器，用來過濾捕獲的封包，以免捕獲太多的記錄。在Capture-> Capture Filters中設置

保存過濾

在Filter欄上，填好Filter的表達式後，點擊Save按鈕，取個名字。比如"Filter 102",

網絡上的抓包工具有什麼用

Ethereal不錯,而且很小!

什麼網絡抓包工具好用

solarwinds

wireshark

sniffer pro

如何利用網絡抓包工具得到的數據怎麼解析tcp/ip

Telnet協議是TCP/IP協議族中的一員，是Internet遠程登陸服務的标準協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序，用它連接到服務器。終端使用者可以在telnet程序中輸入命令，這些命令會在服務器上運行，就像直接在服務器的控制台上輸入一樣。可以在本地就能控制服務器。要開始一個telnet會話，必須輸入用戶名和密碼來登錄服務器。Telnet是常用的遠程控制Web服務器的方法。