[创建时间:2016-03-12 10:00:00]

[更新时间:2016-05-21 10:00:00]

[更新时间:2017-10-16 09:39:00]

NetAnalyzer下载地址

前一段时间应为工作关系,NetAnalyzer笔记系列已经很久没更新了,在这里继续

技巧 一  抓取环回地址(127.0.0.1)的数据包

通过 route add 添加本地IP地址跳转,是数据经过指定的网管然后再传输到本机,通过 route delete 移除跳转,以减少不必要的跳转,影响系统网络效率

示例:
192.168.1.110 为本机IP地址
192.168.1.1   为网关地址

子网掩码视情况而定,若不清楚具体的iP地址,可以在DOS中 通过ipconfig 查看

代码如下:
route add 192.168.1.110 mask 255.255.255.255 192.168.1.1 metric 1 
route delete 192.168.1.110 mask 255.255.255.255 192.168.1.1 metric 1

技巧 二  抓取ASDL数据包

   在一些个别地方还在使用拨号上网(ASDL),我们在抓包时,设置了TCP或UDP端口的过滤表达式,往往不起作用,事实上,因为拨号上网在IP层上封装了PPP协议,然后再通过    PPPoE封装PPP协议,如下图所示

对于该种,协议Winpcap所使用的过滤表达式会与一般的方式不同,对于这部分抓包需要使用 pppoes and (XXX) 方式

示例:

pppoes and (ip host 192.168.0.1 and tcp port 80)

技巧 三  Winpcap 自定义安装包

   为了配合NetAnalyzer2016的发布,特地将Winpcap原始安装包中的主要文件分离出来实现,软件的自动安装,现在特地将这部分文件分享出来,希望对你有所帮助

文件下载:http://files.cnblogs.com/files/twzy/Winpcap.zip

分离出文件有x86和x64,分别对应不同的系统

步骤1  npf.sys 需要复制到 C:\Windows\System32\drivers 文件夹下

剩余的三个文件(Packet.dllpthreadVC.dllwpacp.dll

x86 复制到 C:\Windows\System32 文件夹下

x64 复制到 C:\Windows\SysWOW64 文件夹下

步骤2  建立服务

sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"

sc start npf

为了实现自动安装,特意写了两个bat脚本

 安装脚本

@rem   -------------------------------------

@rem      Cat Studio v 0.1   墨云软件

@rem   -------------------------------------

@rem   时间:2016/1/14 20:00:07

@rem   作者:KEVIN-PC

@rem   说明:

@echo off

title 驱动服务安装

cls

:main

echo 正在安装驱动服务……

if /i "%processor_architecture%"=="x86" (goto forX86) else (goto forX64) 

:forX86

echo x86

echo 正在复制文件……

copy "%~dp0\x86\npf.sys"  "%windir%\System32\drivers\npf.sys"

copy "%~dp0\x86\Packet.dll"  "%windir%\System32\Packet.dll"

copy "%~dp0\x86\pthreadVC.dll"  "%windir%\System32\pthreadVC.dll"

copy "%~dp0\x86\wpcap.dll"  "%windir%\System32\wpcap.dll"

echo 正在创建服务……

sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"

echo 正在启动服务……

sc start npf

echo 操作完成

exit

:forX64

echo x64

echo 正在复制文件……

copy "%~dp0\x64\npf.sys"  "%windir%\System32\drivers\npf.sys"

copy "%~dp0\x64\Packet.dll"  "%windir%\SysWOW64\Packet.dll"

copy "%~dp0\x64\pthreadVC.dll"  "%windir%\SysWOW64\pthreadVC.dll"

copy "%~dp0\x64\wpcap.dll"  "%windir%\SysWOW64\wpcap.dll"

echo 正在创建服务……

sc create npf binPath= System32\drivers\npf.sys type= kernel start= auto error= normal tag= no DisplayName= "NetGroup Packet Filter Driver"

echo 正在启动服务……

sc start npf

echo 操作完成

exit

卸载脚本

 @rem   -------------------------------------

 @rem      Cat Studio v 0.1   墨云软件

 @rem   -------------------------------------

 @rem   时间:2016/1/14 20:00:07

 @rem   作者:KEVIN-PC

 @rem   说明:

 @echo off

 title 卸载驱动服务

 cls

 :main

 echo 正在卸载驱动服务……

 if /i "%processor_architecture%"=="x86" (goto forX86) else (goto forX64) 

 :forX86

 echo x86

 echo 正在停止服务……

 sc stop npf

 echo 正在删除服务……

 sc delete npf

 echo 正在删除文件……

 del  %windir%\System32\drivers\npf.sys

 del  %windir%\System32\Packet.dll

 del  %windir%\System32\pthreadVC.dll

 del  %windir%\System32\wpcap.dll

 echo 操作完成

 exit

 :forX64

 echo x64

 echo 正在停止服务……

 sc stop npf

 echo 正在删除服务……

 sc delete npf

 echo 正在删除文件……

 del  %windir%\System32\drivers\npf.sys

 del  %windir%\SysWOW64\Packet.dll

 del  %windir%\SysWOW64\pthreadVC.dll

 del  %windir%\SysWOW64\wpcap.dll

 echo 操作完成

 exit

技巧 四  抓取一段端口的过滤表达式

获取目标主机8000~8009之间所有端口的TCP数据。

tcp dst portrange 8000-8009

  

NetAnalyzer笔记 之 五 一些抓包技巧分享(不定期更新)的更多相关文章

  1. Wireshark网络分析实战笔记(一)抓包过滤器

    抓包过滤器和显示过滤器的差别: 1.抓包过滤器配置在抓包之前,wireshark仅仅抓取抓包过滤器过滤的数据 2.显示过滤器配置在抓包后,wireshark已经抓取全部的数据包,显示过滤器让wires ...

  2. charles抓包工具分享

    今天,给大组内QA做了一次分享,主要面向移动端测试,介绍了我平时在测试工作中用到的功能,大家都积极响应,现场搭环境,现场操作,现场提问解答,最后大家都成功的利用起来了,感觉很有成就感.下面介绍我今天分 ...

  3. erlang的一些小技巧(不定期更新)

    在任意节点热更新代码 rpc:call(Node,c,l,[Mod]) c和l的指的是code,library Erlang Shell隐藏的小技巧 f(). %%把所有绑定变量释放掉 f(Val). ...

  4. java一些jar包的bug(不定期更新)

    c3p0-0.9.5.jar 连接池jar包,常用于web项目,关闭连接池时,没有注销所有的driver 解决:可声明一个ServletContextListener的子类并设置监听,重写contex ...

  5. ubuntu小技巧(不定期更新)

    1.gedit打开windows保存的txt出现乱码 默认情况下,用ubuntu打开windows保存含有中文的txt文件时会出现乱码. 只需在终端运行以下两条命令则可解决. gsettings se ...

  6. ubuntu server小技巧(不定期更新)

    0.常用工具apt安装包名 # ssh服务器工具 apt-get install openssh-server # RabbitMQapt-get install rabbitmq-server # ...

  7. 【Mac 实用技巧】不定期更新

    Mac去掉截屏图片边框外阴影效果 一次命令行:defaults write com.apple.screencapture disable-shadow -bool true;\killall Sys ...

  8. NetAnalyzer笔记 目录

    目录 NetAnalyzer笔记 之 一 开篇语 NetAnalyzer笔记 之 二 简单的协议分析 NetAnalyzer笔记 之 三 用C++做一个抓包程序 NetAnalyzer笔记 之 四 C ...

  9. NetAnalyzer笔记 之 一. 开篇语

    [创建时间:2015-08-26 22:00:12] NetAnalyzer下载地址 第一次写技术相关的博客,不足之处还请担待并告知. 在开始之前,先简单介绍一下NetAnalyzer, NetAna ...

随机推荐

  1. 使用JMeter做压力测试

    使用JMeter做压力测试 1.下载Jmeter 地址:http://jmeter.apache.org/download_jmeter.cgi 2.启动jmeter 运行bin/jmeter.bat ...

  2. [Redux] React Todo List Example (Adding a Todo)

    Learn how to create a React todo list application using the reducers we wrote before. /** * A reduce ...

  3. Swift中实现点击、双击、捏、旋转、拖动、划动、长按手势的类和方法介绍

    1.UITapGestureRecognizer 点击/双击手势 代码如下: var tapGesture = UITapGestureRecognizer(target: self, action: ...

  4. linux服务器内存占用太高-释放内存

    修改/proc/sys/vm/drop_caches,释放Slab占用的cache内存空间(参考drop_caches的官方文档): Writing to this will cause the ke ...

  5. linux系统自动执行任务(转)

    开机启动 开机启动应该是我们很经常的需求了,我们常需要在开机时就自动执行某些命令来开启服务,进程等,有了它我们不必再在每次开机时输入同一堆命令. chkconfig命令 使用chkconfig命令可以 ...

  6. .NET基础拾遗(7)多线程开发基础4

    一.多线程编程中的线程同步 1.C#中的lock关键字 lock关键字可能是我们在遇到线程同步的需求时最常用的方式,但lock只是一个语法糖,为什么这么说呢,下面慢慢道来. (1)lock的等效代码其 ...

  7. GCC下32位与64位机器类型变量所占字节数

    GCC下32位与64位机器类型变量所占字节数 在C语言中,编译器一般根据自身硬件针对类型变量来选择合适的字节大小,下面列举一下在GCC编译器下32位机器与64位机器各个类型变量所占字节数目: C语言 ...

  8. Windows 右键快速运行命令行

    原文见:右键命令行 - yacper - 博客园 方法一:配置文件夹选项 1 打开人任意文件夹,[工具] --> [文件夹选项] --> [文件类型] --> [(无)资料夹] -- ...

  9. Sass的控制命令(循环)

    @if@if指令是一个SassScript,它可以根据条件来处理样式块,如果条件为true返回一个样式块,反之false返回另一个样式块.在Sass中除了@if,还可以配合@else if和@else ...

  10. DG下手工处理v$archive_gap方法

    从9i以后,oracle dataguard 备库一般都不需要手工处理丢失的日志,FAL自动会帮我们处理,下面通过个案例来讲下手工处理丢失的日志的方法: 1.在备库查询有哪些日志丢失,没应用到备库 S ...