利用WinDump来探测HTTP网页数据包

54powerman
54powerman@163.com
http://blog.csdn.net/54powerman
windump是一个开源软件，可以进行各种协议的网络数据包探测，是一个不错的免费、开源Net Sniffer软件，当前最新版本是3.9.5，官方下载网址：http://www.winpcap.org/windump/install/。
详细的帮助文件官方网址是：http://www.winpcap.org/windump/docs/manual.htm

常用的参数：
-w write的缩写，写入文件，供后期分析。
-D 打印系统可用的网络接口列表。
-i[n] interface的缩写，选择要监测的网络接口。
host 指定要监测的主机，可以是域名或IP地址。
port 指定要监测的端口。
src/dst source/Destination的缩写，该参数配合host和port参数一起使用，指定要监测的主机或端口为源/终点的数据包。
-s size的缩写，指定抓取的每个数据包的大小，缺省是68，如果该值太小，可能会丢失数据。如果设置为0，则表示捕获整个包。
-t 不显示时间。
-tttt 以缺省ISO格式显示时间。
tcp, udp, icmp 指定使用的协议

使用范例：
监测某个网站的访问数据包，如mail.163.com：
1 运行命令行
windump -i2 -w pc.dump -s 0 host mail.163.com
2 用浏览器访问mail.163.com的某个网页。
3 用Ultraedit或其他16进制编辑器打开pc.dump文件，你就可以看到你对网页操作的“Request->Response”数据包了。

如果你只对服务器返回的消息感兴趣，如下修改上面的命令：
windump -i2 -w pc.dump -s 0 src host mail.163.com
反之：
windump -i2 -w pc.dump -s 0 dst host mail.163.com

windump的确是个不可多得的优秀Sniffer软件，值得收藏使用。