NetAnalyzer笔记 之 五 一些抓包技巧分享(不定期更新)
[创建时间:2016-03-12 10:00:00]
[更新时间:2016-05-21 10:00:00]
[更新时间:2017-10-16 09:39:00]
前一段时间应为工作关系,NetAnalyzer笔记系列已经很久没更新了,在这里继续
技巧 一 抓取环回地址(127.0.0.1)的数据包
通过 route add 添加本地IP地址跳转,是数据经过指定的网管然后再传输到本机,通过 route delete 移除跳转,以减少不必要的跳转,影响系统网络效率 示例:
192.168.1.110 为本机IP地址
192.168.1.1 为网关地址 子网掩码视情况而定,若不清楚具体的iP地址,可以在DOS中 通过ipconfig 查看 代码如下:
route add 192.168.1.110 mask 255.255.255.255 192.168.1.1 metric 1
route delete 192.168.1.110 mask 255.255.255.255 192.168.1.1 metric 1
技巧 二 抓取ASDL数据包
在一些个别地方还在使用拨号上网(ASDL),我们在抓包时,设置了TCP或UDP端口的过滤表达式,往往不起作用,事实上,因为拨号上网在IP层上封装了PPP协议,然后再通过 PPPoE封装PPP协议,如下图所示
对于该种,协议Winpcap所使用的过滤表达式会与一般的方式不同,对于这部分抓包需要使用 pppoes and (XXX) 方式
示例:
pppoes and (ip host 192.168.0.1 and tcp port 80)
技巧 三 Winpcap 自定义安装包
为了配合NetAnalyzer2016的发布,特地将Winpcap原始安装包中的主要文件分离出来实现,软件的自动安装,现在特地将这部分文件分享出来,希望对你有所帮助
文件下载:http://files.cnblogs.com/files/twzy/Winpcap.zip
分离出文件有x86和x64,分别对应不同的系统
步骤1 npf.sys 需要复制到 C:\Windows\System32\drivers 文件夹下
剩余的三个文件(Packet.dll、pthreadVC.dll、wpacp.dll)
x86 复制到 C:\Windows\System32 文件夹下
x64 复制到 C:\Windows\SysWOW64 文件夹下
步骤2 建立服务
sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"
sc start npf
为了实现自动安装,特意写了两个bat脚本
安装脚本
@rem -------------------------------------
@rem Cat Studio v 0.1 墨云软件
@rem -------------------------------------
@rem 时间:2016/1/14 20:00:07
@rem 作者:KEVIN-PC
@rem 说明: @echo off
title 驱动服务安装
cls :main
echo 正在安装驱动服务…… if /i "%processor_architecture%"=="x86" (goto forX86) else (goto forX64) :forX86 echo x86
echo 正在复制文件……
copy "%~dp0\x86\npf.sys" "%windir%\System32\drivers\npf.sys"
copy "%~dp0\x86\Packet.dll" "%windir%\System32\Packet.dll"
copy "%~dp0\x86\pthreadVC.dll" "%windir%\System32\pthreadVC.dll"
copy "%~dp0\x86\wpcap.dll" "%windir%\System32\wpcap.dll"
echo 正在创建服务……
sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"
echo 正在启动服务……
sc start npf
echo 操作完成
exit :forX64 echo x64
echo 正在复制文件……
copy "%~dp0\x64\npf.sys" "%windir%\System32\drivers\npf.sys"
copy "%~dp0\x64\Packet.dll" "%windir%\SysWOW64\Packet.dll"
copy "%~dp0\x64\pthreadVC.dll" "%windir%\SysWOW64\pthreadVC.dll"
copy "%~dp0\x64\wpcap.dll" "%windir%\SysWOW64\wpcap.dll"
echo 正在创建服务……
sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"
echo 正在启动服务……
sc start npf
echo 操作完成
exit
卸载脚本
@rem -------------------------------------
@rem Cat Studio v 0.1 墨云软件
@rem -------------------------------------
@rem 时间:2016/1/14 20:00:07
@rem 作者:KEVIN-PC
@rem 说明: @echo off
title 卸载驱动服务
cls :main
echo 正在卸载驱动服务……
if /i "%processor_architecture%"=="x86" (goto forX86) else (goto forX64) :forX86 echo x86
echo 正在停止服务……
sc stop npf
echo 正在删除服务……
sc delete npf
echo 正在删除文件……
del %windir%\System32\drivers\npf.sys
del %windir%\System32\Packet.dll
del %windir%\System32\pthreadVC.dll
del %windir%\System32\wpcap.dll
echo 操作完成
exit :forX64 echo x64
echo 正在停止服务……
sc stop npf
echo 正在删除服务……
sc delete npf
echo 正在删除文件……
del %windir%\System32\drivers\npf.sys
del %windir%\SysWOW64\Packet.dll
del %windir%\SysWOW64\pthreadVC.dll
del %windir%\SysWOW64\wpcap.dll
echo 操作完成
exit
技巧 四 抓取一段端口的过滤表达式
获取目标主机8000~8009之间所有端口的TCP数据。
tcp dst portrange 8000-8009
NetAnalyzer笔记 之 五 一些抓包技巧分享(不定期更新)的更多相关文章
- Wireshark网络分析实战笔记(一)抓包过滤器
抓包过滤器和显示过滤器的差别: 1.抓包过滤器配置在抓包之前,wireshark仅仅抓取抓包过滤器过滤的数据 2.显示过滤器配置在抓包后,wireshark已经抓取全部的数据包,显示过滤器让wires ...
- charles抓包工具分享
今天,给大组内QA做了一次分享,主要面向移动端测试,介绍了我平时在测试工作中用到的功能,大家都积极响应,现场搭环境,现场操作,现场提问解答,最后大家都成功的利用起来了,感觉很有成就感.下面介绍我今天分 ...
- erlang的一些小技巧(不定期更新)
在任意节点热更新代码 rpc:call(Node,c,l,[Mod]) c和l的指的是code,library Erlang Shell隐藏的小技巧 f(). %%把所有绑定变量释放掉 f(Val). ...
- java一些jar包的bug(不定期更新)
c3p0-0.9.5.jar 连接池jar包,常用于web项目,关闭连接池时,没有注销所有的driver 解决:可声明一个ServletContextListener的子类并设置监听,重写contex ...
- ubuntu小技巧(不定期更新)
1.gedit打开windows保存的txt出现乱码 默认情况下,用ubuntu打开windows保存含有中文的txt文件时会出现乱码. 只需在终端运行以下两条命令则可解决. gsettings se ...
- ubuntu server小技巧(不定期更新)
0.常用工具apt安装包名 # ssh服务器工具 apt-get install openssh-server # RabbitMQapt-get install rabbitmq-server # ...
- 【Mac 实用技巧】不定期更新
Mac去掉截屏图片边框外阴影效果 一次命令行:defaults write com.apple.screencapture disable-shadow -bool true;\killall Sys ...
- NetAnalyzer笔记 目录
目录 NetAnalyzer笔记 之 一 开篇语 NetAnalyzer笔记 之 二 简单的协议分析 NetAnalyzer笔记 之 三 用C++做一个抓包程序 NetAnalyzer笔记 之 四 C ...
- NetAnalyzer笔记 之 一. 开篇语
[创建时间:2015-08-26 22:00:12] NetAnalyzer下载地址 第一次写技术相关的博客,不足之处还请担待并告知. 在开始之前,先简单介绍一下NetAnalyzer, NetAna ...
随机推荐
- 最长回文字符串(manacher算法)
偶然看见了人家的博客发现这么一个问题,研究了一下午, 才发现其中的奥妙.Stupid. 题目描述: 回文串就是一个正读和反读都一样的字符串,比如“level”或者“noon”等等就是回文串. ...
- CVE-2016-5343分析
最近在学习android内核漏洞,写篇博做个记录,也算是所学即用. https://www.codeaurora.org/multiple-memory-corruption-issues-write ...
- eclipse打包 jar文件,中文乱码解决方案
直接通过eclipse浏览源代码时,发现中文注释为乱码的问题.其实这个eclipse默认编码造成的问题.可以通过以下方法解决: 修改Eclipse中文本文件的默认编码:windows->Pref ...
- htm初学笔记
一.什么是html HTML(HyperText Markup Language):超文本标记语言,一种纯文本类型的语言 --使用带有尖括号的“标记”将网页中的内容逐一标识出来 用来设计网页的标记语言 ...
- WEB 开发所用的网站
常用前端手册: http://caniuse.com/ http://www.w3school.com.cn/ http://www.runoob.com/ http://www.css88.com/ ...
- 从客户端检测到有潜在危险的Request.Form值
1.带有html标记内容提交(使用web编辑器): js: <script type="text/javascript"> //简单模式 var editor; Kin ...
- Arcgis Engine - 鹰眼(减少闪烁)
网上看到的代码,都是一个模样,经过不断调试,无意中效果就可以了.主要是在"鼠标拖动的时候",网上的代码的鹰眼效果,感觉坑爹死了,闪烁超级严重.主要原因是鼠标拖动的时候,进行时时更新 ...
- C# TextBox控件 显示大量数据
串口通信:在使用TextBox空间显示数据时,因为要显示大量的接收到的数据,当数据量大且快速(串口1ms发送一条数据)时,使用+=的方式仍然会造成界面的卡顿(已使用多线程处理),但使用AppendTe ...
- KindleRSS推送服务器搭建
参考http://xcode.so/2010/12/google-gae-rss-to-kindle/这篇文章 1.首先尝试在本机搭建服务器直接推送到kindle 需要使用到kindlereader这 ...
- 练习使用css3实现3d按钮
网上有很多漂亮的用css3实现的3d按钮,如'这个'.‘糖果色按钮’, 今天练习了一下,喏,下面这样,兼容性不好. 小黑子小虎子 3d效果和发光效果都是利用box-shadow,也经常利用伪元素:af ...