NetAnalyzer笔记 之 五 一些抓包技巧分享(不定期更新)
[创建时间:2016-03-12 10:00:00]
[更新时间:2016-05-21 10:00:00]
[更新时间:2017-10-16 09:39:00]
前一段时间应为工作关系,NetAnalyzer笔记系列已经很久没更新了,在这里继续
技巧 一 抓取环回地址(127.0.0.1)的数据包
通过 route add 添加本地IP地址跳转,是数据经过指定的网管然后再传输到本机,通过 route delete 移除跳转,以减少不必要的跳转,影响系统网络效率 示例:
192.168.1.110 为本机IP地址
192.168.1.1 为网关地址 子网掩码视情况而定,若不清楚具体的iP地址,可以在DOS中 通过ipconfig 查看 代码如下:
route add 192.168.1.110 mask 255.255.255.255 192.168.1.1 metric 1
route delete 192.168.1.110 mask 255.255.255.255 192.168.1.1 metric 1
技巧 二 抓取ASDL数据包
在一些个别地方还在使用拨号上网(ASDL),我们在抓包时,设置了TCP或UDP端口的过滤表达式,往往不起作用,事实上,因为拨号上网在IP层上封装了PPP协议,然后再通过 PPPoE封装PPP协议,如下图所示
对于该种,协议Winpcap所使用的过滤表达式会与一般的方式不同,对于这部分抓包需要使用 pppoes and (XXX) 方式
示例:
pppoes and (ip host 192.168.0.1 and tcp port 80)
技巧 三 Winpcap 自定义安装包
为了配合NetAnalyzer2016的发布,特地将Winpcap原始安装包中的主要文件分离出来实现,软件的自动安装,现在特地将这部分文件分享出来,希望对你有所帮助
文件下载:http://files.cnblogs.com/files/twzy/Winpcap.zip
分离出文件有x86和x64,分别对应不同的系统
步骤1 npf.sys 需要复制到 C:\Windows\System32\drivers 文件夹下
剩余的三个文件(Packet.dll、pthreadVC.dll、wpacp.dll)
x86 复制到 C:\Windows\System32 文件夹下
x64 复制到 C:\Windows\SysWOW64 文件夹下
步骤2 建立服务
sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"
sc start npf
为了实现自动安装,特意写了两个bat脚本
安装脚本
@rem -------------------------------------
@rem Cat Studio v 0.1 墨云软件
@rem -------------------------------------
@rem 时间:2016/1/14 20:00:07
@rem 作者:KEVIN-PC
@rem 说明: @echo off
title 驱动服务安装
cls :main
echo 正在安装驱动服务…… if /i "%processor_architecture%"=="x86" (goto forX86) else (goto forX64) :forX86 echo x86
echo 正在复制文件……
copy "%~dp0\x86\npf.sys" "%windir%\System32\drivers\npf.sys"
copy "%~dp0\x86\Packet.dll" "%windir%\System32\Packet.dll"
copy "%~dp0\x86\pthreadVC.dll" "%windir%\System32\pthreadVC.dll"
copy "%~dp0\x86\wpcap.dll" "%windir%\System32\wpcap.dll"
echo 正在创建服务……
sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"
echo 正在启动服务……
sc start npf
echo 操作完成
exit :forX64 echo x64
echo 正在复制文件……
copy "%~dp0\x64\npf.sys" "%windir%\System32\drivers\npf.sys"
copy "%~dp0\x64\Packet.dll" "%windir%\SysWOW64\Packet.dll"
copy "%~dp0\x64\pthreadVC.dll" "%windir%\SysWOW64\pthreadVC.dll"
copy "%~dp0\x64\wpcap.dll" "%windir%\SysWOW64\wpcap.dll"
echo 正在创建服务……
sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"
echo 正在启动服务……
sc start npf
echo 操作完成
exit
卸载脚本
@rem -------------------------------------
@rem Cat Studio v 0.1 墨云软件
@rem -------------------------------------
@rem 时间:2016/1/14 20:00:07
@rem 作者:KEVIN-PC
@rem 说明: @echo off
title 卸载驱动服务
cls :main
echo 正在卸载驱动服务……
if /i "%processor_architecture%"=="x86" (goto forX86) else (goto forX64) :forX86 echo x86
echo 正在停止服务……
sc stop npf
echo 正在删除服务……
sc delete npf
echo 正在删除文件……
del %windir%\System32\drivers\npf.sys
del %windir%\System32\Packet.dll
del %windir%\System32\pthreadVC.dll
del %windir%\System32\wpcap.dll
echo 操作完成
exit :forX64 echo x64
echo 正在停止服务……
sc stop npf
echo 正在删除服务……
sc delete npf
echo 正在删除文件……
del %windir%\System32\drivers\npf.sys
del %windir%\SysWOW64\Packet.dll
del %windir%\SysWOW64\pthreadVC.dll
del %windir%\SysWOW64\wpcap.dll
echo 操作完成
exit
技巧 四 抓取一段端口的过滤表达式
获取目标主机8000~8009之间所有端口的TCP数据。
tcp dst portrange 8000-8009
最新文章
- 企业IT管理员IE11升级指南【6】—— Internet Explorer 11面向IT专业人员的常见问题
- js压缩图片base64长度
- 【密码】Oracle用户密码系列
- java多条件不定条件查询
- Splunk - 如何在WebFramework之CORS模式下你的网站和splunk web进行交互
- 生成不重复随机数,int转 TCHAR 打印输出
- modelsim打开.wlf文件的方法(原创)
- [Django 1.5] jQuery/Ajax 在Django使用 ,如何更新模板里里变量
- 硬盘重装Ubuntu12.04的感受
- OpenGL多视口
- 关于eclipse新建web项目,提示:"The superclass "javax.servlet.http.HttpServlet" was not found on the Java"解决办法
- 201521123038 《Java程序设计》 第七周学习总结
- 学习less
- 新概念英语(1-63)Thank you, doctor.
- C#来操作Word
- mysql中使用enum,如何获取所有可能的值
- table行颜色设置
- ODI基于源表时间戳字段获取增量数据
- 【Teradata】配置PE和AMP(congfig和reconfig工具、vprocmanager)
- 在一台服务器上配置多个Tomcat的方法