IP抓包工具(iptool抓包分析工具新手使用指南 )

1、選捕包網(wǎng)卡，如下圖：

如上圖

1、選擇好捕包網(wǎng)卡，左連還有一些其它捕包條件供選擇，如果當(dāng)所選網(wǎng)卡不支持“雜項(xiàng)接收”功能，系統(tǒng)會(huì)提示相應(yīng)信息,出現(xiàn)該情況時(shí)您將無法獲取與本網(wǎng)卡無關(guān)的數(shù)據(jù)包，換言之，您無法獲取其他電腦之間的通訊包，所以， 建議您更換網(wǎng)卡。 不支持“雜項(xiàng)接收”的網(wǎng)卡，多數(shù)為一部分無線網(wǎng)卡及少數(shù)專用服務(wù)器/筆記本網(wǎng)卡。
2、協(xié)議過濾
通常情況下，可不選，除非您對協(xié)議類型較為熟悉。
3、設(shè)置捕包緩沖
確省的捕包緩沖區(qū)大小為 1M，如果您的要追蹤的網(wǎng)絡(luò)規(guī)模較大，可適當(dāng)調(diào)大該值；另外，如果追蹤主機(jī) CPU 處理能力不夠，也需加大緩沖；否則，可能出現(xiàn)丟包的情況。
4、IP過濾
IP過濾里可以設(shè)置想要捕包的IP地址或是設(shè)置要排除的IP地址等信息。
5、端口過濾
端口過濾過濾里可以設(shè)置想要捕包的端口或是設(shè)置要排除過濾的端口等信息。

1、設(shè)置捕包過濾項(xiàng)
這里的過濾和“追蹤任務(wù)”過濾設(shè)置是獨(dú)立分開的，請不要混淆，其可選內(nèi)容項(xiàng)更多。點(diǎn)按鈕，如下圖：

上述選項(xiàng)中，最為復(fù)雜的是“數(shù)據(jù)塊匹配”部分，詳細(xì)的介紹將在下面的章節(jié)部分出現(xiàn)，這里只需要配置好正確的網(wǎng)卡即可，其他選項(xiàng)可以不做任何設(shè)置。

2、開始捕獲，點(diǎn)按鈕。

通過上述步驟，基本上可以體驗(yàn)到該產(chǎn)品的最基礎(chǔ)的功能。

IP包回放
IP包回放的目的是：
1、有助于了解原始包通訊的地理分布情況。
2、通過將IP包回放到網(wǎng)卡上，模擬原始IP包在網(wǎng)絡(luò)上傳輸情況，也可供同類捕包軟件捕獲分析。

通訊協(xié)議分析
捕包準(zhǔn)備
捕包分析工具條：
開始捕包前，用戶需先進(jìn)行過濾設(shè)置，選項(xiàng)內(nèi)容包括：
選網(wǎng)卡
如果您有多塊網(wǎng)卡，需要選中能捕包到預(yù)想中的數(shù)據(jù)的網(wǎng)卡。
協(xié)議過濾
針對Internet通訊部分，常見的IP包類型為：TCP/UDP/ICMP。絕大部分是TCP連接的，比如HTTP(s)/SMTP/POP3/FTP/TELNET等等；一部分聊天軟件中除了采用TCP通訊方式外，也采用了UDP的傳輸方式，如QQ/SKYPE等；而常見的ICMP包是由客戶的Ping產(chǎn)生的。設(shè)置界面如下：

IP過濾
“IP過濾”在捕包過濾使用最為常見，IP匹配主要分兩類：一是不帶通訊方向，單純的是范圍的匹配，如上圖中的“From:to”類型；另外一類是帶通訊方向的一對一匹配，如上圖“< -- >”類型，不僅匹配IP地址，也匹配通訊的源IP和目標(biāo)IP的方向。
端口過濾
“端口過濾”只針對兩種類型的DoD-IP包：TCP/UDP。
數(shù)據(jù)區(qū)大小
“數(shù)據(jù)區(qū)大小” 的匹配針對所有DoD-IP類型包，不過需要說明的是，TCP/UDP的IP數(shù)據(jù)區(qū)是以實(shí)際數(shù)據(jù)區(qū)位置開始計(jì)算的，而其他類型的則把緊隨IP包頭后面的部分當(dāng)作數(shù)據(jù)區(qū)。

數(shù)據(jù)塊匹配
“數(shù)據(jù)塊匹配”較為復(fù)雜，但卻非常有用，設(shè)置界面如下：

在這里，用戶可以輸入文本，也可以輸入二進(jìn)制，可以選擇特定位置的匹配，也可以選擇任意位置的匹配，總之，該設(shè)置非常靈活好用。
結(jié)束條件
如下圖，缺省條件下，當(dāng)捕獲的包占用空間多余10M時(shí)，自動(dòng)停止。

結(jié)束于某個(gè)時(shí)間點(diǎn)，是指捕包的截止時(shí)間。

分析捕獲包
用戶按下“開始”按鈕啟動(dòng)捕包功能后，列表框中會(huì)自動(dòng)顯示出符合條件的數(shù)據(jù)包，并附帶簡單的解析。用鼠標(biāo)右鍵點(diǎn)擊內(nèi)容，彈出下圖中的菜單：

選中“分析”，出現(xiàn)下面的畫面：

上圖中，左邊和右下部分是分析結(jié)果，右上部是原始二進(jìn)制代碼，選中左邊某一條目時(shí)，在右邊二進(jìn)制區(qū)域的色塊和其一一對應(yīng)。
如果用戶以前少有接觸協(xié)議分析部分，IPTOOL可以很好地協(xié)助您深入了解TCP/IP協(xié)議。我們將在網(wǎng)站定期提供一些捕獲樣例包，協(xié)助用戶學(xué)習(xí)分析各種類型的IP包。