wireshark抓包分析

记录使用wireshark抓取SOAP包的步骤

1.  下载安装WireShark，显示错误WireShark"The NPF isn't running......"

  首先，你得确认自己安装了winpcap(最好下载一个最新版本：官方下载,这会官方好像打不开，也可以华军下载)，然后

（1）如果你使用的是Linux、Ubuntu系统，请用 >$ su Administrator命令切换到拥有最高权限的帐号，然后再输入命令：“net start npf”（如果不行自己查找类似命令）。

（2）如果使用的是windows xp\me,请使用管理员帐号登录，然后打开cmd,输入命令：“net start npf”,会提示打开驱动服务成功。

（3）如果使用的是Windows vista或者跟我一样试用的Windows 7，请找到“C:\Windows\System32”下的 cmd.exe 文件，右键点击选择“Run as administrator”，然后在命令行模式下输入命令“net start npf”，即可成功打开NPF的驱动，应该就是我前面找到过的 npf.sys 文件被打开了

重新启动Wireshark就可以正常运行了

2. 抓包的步骤

    1.  Capture->Interface->(选择对应的自己的网卡) start

       这时候数据界面就显示了当前网卡的所有数据和协议了。

       如本例选择第一个Realtek的网卡，即使两个都选，第二个没有数据

    2. 过滤查找所需的数据

        如想要查找ip地址为10.110.6.252的交互数据
      可以在Filter里面填写 ip.addr==10.110.6.252（回车或者点Apply）
     如果我们只想抓TCP的 ip.addr == 10.110.6.252 && tcp (注意要小写)
   如果不想看到ACK ip.addr == 10.110.6.252 && tcp && tcp.len != 0
   如果要看数据包中含有5252的值的数据（注意此处为16进制）
   ip.addr == 10.110.6.252 && tcp && tcp.len != 0 && (data.data contains 5252)

 
3. 含有很多过滤方法可以点击Express，里面有一些选项，自己多试试。
用好一个工具很重要，但要长期的积累才行，自己多使用，多看点教程就OK。

 

 

WireShark详细的教程资料

http://blog.csdn.net/xmphoenix/article/details/6546022