[创建时间:2016-03-12 10:00:00]

[更新时间:2016-05-21 10:00:00]

[更新时间:2017-10-16 09:39:00]

NetAnalyzer下载地址

前一段时间应为工作关系,NetAnalyzer笔记系列已经很久没更新了,在这里继续

技巧 一  抓取环回地址(127.0.0.1)的数据包

通过 route add 添加本地IP地址跳转,是数据经过指定的网管然后再传输到本机,通过 route delete 移除跳转,以减少不必要的跳转,影响系统网络效率

示例:
192.168.1.110 为本机IP地址
192.168.1.1   为网关地址

子网掩码视情况而定,若不清楚具体的iP地址,可以在DOS中 通过ipconfig 查看

代码如下:
route add 192.168.1.110 mask 255.255.255.255 192.168.1.1 metric 1 
route delete 192.168.1.110 mask 255.255.255.255 192.168.1.1 metric 1  

技巧 二  抓取ASDL数据包

   在一些个别地方还在使用拨号上网(ASDL),我们在抓包时,设置了TCP或UDP端口的过滤表达式,往往不起作用,事实上,因为拨号上网在IP层上封装了PPP协议,然后再通过    PPPoE封装PPP协议,如下图所示

对于该种,协议Winpcap所使用的过滤表达式会与一般的方式不同,对于这部分抓包需要使用 pppoes and (XXX) 方式

示例:

pppoes and (ip host 192.168.0.1 and tcp port 80)

技巧 三  Winpcap 自定义安装包

   为了配合NetAnalyzer2016的发布,特地将Winpcap原始安装包中的主要文件分离出来实现,软件的自动安装,现在特地将这部分文件分享出来,希望对你有所帮助

文件下载:http://files.cnblogs.com/files/twzy/Winpcap.zip

分离出文件有x86和x64,分别对应不同的系统

步骤1  npf.sys 需要复制到 C:\Windows\System32\drivers 文件夹下

剩余的三个文件(Packet.dllpthreadVC.dllwpacp.dll

x86 复制到 C:\Windows\System32 文件夹下

x64 复制到 C:\Windows\SysWOW64 文件夹下

步骤2  建立服务

sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"

sc start npf

为了实现自动安装,特意写了两个bat脚本

 安装脚本

@rem   -------------------------------------
@rem Cat Studio v 0.1 墨云软件
@rem -------------------------------------
@rem 时间:2016/1/14 20:00:07
@rem 作者:KEVIN-PC
@rem 说明: @echo off
title 驱动服务安装
cls :main
echo 正在安装驱动服务…… if /i "%processor_architecture%"=="x86" (goto forX86) else (goto forX64) :forX86 echo x86
echo 正在复制文件……
copy "%~dp0\x86\npf.sys" "%windir%\System32\drivers\npf.sys"
copy "%~dp0\x86\Packet.dll" "%windir%\System32\Packet.dll"
copy "%~dp0\x86\pthreadVC.dll" "%windir%\System32\pthreadVC.dll"
copy "%~dp0\x86\wpcap.dll" "%windir%\System32\wpcap.dll"
echo 正在创建服务……
sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"
echo 正在启动服务……
sc start npf
echo 操作完成
exit :forX64 echo x64
echo 正在复制文件……
copy "%~dp0\x64\npf.sys" "%windir%\System32\drivers\npf.sys"
copy "%~dp0\x64\Packet.dll" "%windir%\SysWOW64\Packet.dll"
copy "%~dp0\x64\pthreadVC.dll" "%windir%\SysWOW64\pthreadVC.dll"
copy "%~dp0\x64\wpcap.dll" "%windir%\SysWOW64\wpcap.dll"
echo 正在创建服务……
sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"
echo 正在启动服务……
sc start npf
echo 操作完成
exit

卸载脚本

 @rem   -------------------------------------
@rem Cat Studio v 0.1 墨云软件
@rem -------------------------------------
@rem 时间:2016/1/14 20:00:07
@rem 作者:KEVIN-PC
@rem 说明: @echo off
title 卸载驱动服务
cls :main
echo 正在卸载驱动服务……
if /i "%processor_architecture%"=="x86" (goto forX86) else (goto forX64) :forX86 echo x86
echo 正在停止服务……
sc stop npf
echo 正在删除服务……
sc delete npf
echo 正在删除文件……
del %windir%\System32\drivers\npf.sys
del %windir%\System32\Packet.dll
del %windir%\System32\pthreadVC.dll
del %windir%\System32\wpcap.dll
echo 操作完成
exit :forX64 echo x64
echo 正在停止服务……
sc stop npf
echo 正在删除服务……
sc delete npf
echo 正在删除文件……
del %windir%\System32\drivers\npf.sys
del %windir%\SysWOW64\Packet.dll
del %windir%\SysWOW64\pthreadVC.dll
del %windir%\SysWOW64\wpcap.dll
echo 操作完成
exit

技巧 四  抓取一段端口的过滤表达式

获取目标主机8000~8009之间所有端口的TCP数据。

tcp dst portrange 8000-8009

  

NetAnalyzer笔记 之 五 一些抓包技巧分享(不定期更新)的更多相关文章

  1. Wireshark网络分析实战笔记(一)抓包过滤器

    抓包过滤器和显示过滤器的差别: 1.抓包过滤器配置在抓包之前,wireshark仅仅抓取抓包过滤器过滤的数据 2.显示过滤器配置在抓包后,wireshark已经抓取全部的数据包,显示过滤器让wires ...

  2. charles抓包工具分享

    今天,给大组内QA做了一次分享,主要面向移动端测试,介绍了我平时在测试工作中用到的功能,大家都积极响应,现场搭环境,现场操作,现场提问解答,最后大家都成功的利用起来了,感觉很有成就感.下面介绍我今天分 ...

  3. erlang的一些小技巧(不定期更新)

    在任意节点热更新代码 rpc:call(Node,c,l,[Mod]) c和l的指的是code,library Erlang Shell隐藏的小技巧 f(). %%把所有绑定变量释放掉 f(Val). ...

  4. java一些jar包的bug(不定期更新)

    c3p0-0.9.5.jar 连接池jar包,常用于web项目,关闭连接池时,没有注销所有的driver 解决:可声明一个ServletContextListener的子类并设置监听,重写contex ...

  5. ubuntu小技巧(不定期更新)

    1.gedit打开windows保存的txt出现乱码 默认情况下,用ubuntu打开windows保存含有中文的txt文件时会出现乱码. 只需在终端运行以下两条命令则可解决. gsettings se ...

  6. ubuntu server小技巧(不定期更新)

    0.常用工具apt安装包名 # ssh服务器工具 apt-get install openssh-server # RabbitMQapt-get install rabbitmq-server # ...

  7. 【Mac 实用技巧】不定期更新

    Mac去掉截屏图片边框外阴影效果 一次命令行:defaults write com.apple.screencapture disable-shadow -bool true;\killall Sys ...

  8. NetAnalyzer笔记 目录

    目录 NetAnalyzer笔记 之 一 开篇语 NetAnalyzer笔记 之 二 简单的协议分析 NetAnalyzer笔记 之 三 用C++做一个抓包程序 NetAnalyzer笔记 之 四 C ...

  9. NetAnalyzer笔记 之 一. 开篇语

    [创建时间:2015-08-26 22:00:12] NetAnalyzer下载地址 第一次写技术相关的博客,不足之处还请担待并告知. 在开始之前,先简单介绍一下NetAnalyzer, NetAna ...

随机推荐

  1. 最长回文字符串(manacher算法)

    偶然看见了人家的博客发现这么一个问题,研究了一下午, 才发现其中的奥妙.Stupid. 题目描述:      回文串就是一个正读和反读都一样的字符串,比如“level”或者“noon”等等就是回文串. ...

  2. CVE-2016-5343分析

    最近在学习android内核漏洞,写篇博做个记录,也算是所学即用. https://www.codeaurora.org/multiple-memory-corruption-issues-write ...

  3. eclipse打包 jar文件,中文乱码解决方案

    直接通过eclipse浏览源代码时,发现中文注释为乱码的问题.其实这个eclipse默认编码造成的问题.可以通过以下方法解决: 修改Eclipse中文本文件的默认编码:windows->Pref ...

  4. htm初学笔记

    一.什么是html HTML(HyperText Markup Language):超文本标记语言,一种纯文本类型的语言 --使用带有尖括号的“标记”将网页中的内容逐一标识出来 用来设计网页的标记语言 ...

  5. WEB 开发所用的网站

    常用前端手册: http://caniuse.com/ http://www.w3school.com.cn/ http://www.runoob.com/ http://www.css88.com/ ...

  6. 从客户端检测到有潜在危险的Request.Form值

    1.带有html标记内容提交(使用web编辑器): js: <script type="text/javascript"> //简单模式 var editor; Kin ...

  7. Arcgis Engine - 鹰眼(减少闪烁)

    网上看到的代码,都是一个模样,经过不断调试,无意中效果就可以了.主要是在"鼠标拖动的时候",网上的代码的鹰眼效果,感觉坑爹死了,闪烁超级严重.主要原因是鼠标拖动的时候,进行时时更新 ...

  8. C# TextBox控件 显示大量数据

    串口通信:在使用TextBox空间显示数据时,因为要显示大量的接收到的数据,当数据量大且快速(串口1ms发送一条数据)时,使用+=的方式仍然会造成界面的卡顿(已使用多线程处理),但使用AppendTe ...

  9. KindleRSS推送服务器搭建

    参考http://xcode.so/2010/12/google-gae-rss-to-kindle/这篇文章 1.首先尝试在本机搭建服务器直接推送到kindle 需要使用到kindlereader这 ...

  10. 练习使用css3实现3d按钮

    网上有很多漂亮的用css3实现的3d按钮,如'这个'.‘糖果色按钮’, 今天练习了一下,喏,下面这样,兼容性不好. 小黑子小虎子 3d效果和发光效果都是利用box-shadow,也经常利用伪元素:af ...