網路抓包命令哪個好用

Ⅰ 抓包工具哪個好用，我要找的哪個cookie

Fiddler是一個http協議調試代理工具，它能夠記錄並檢查所有你的電腦和互聯網之間的http通訊，設置斷點，查看所有的「進出」Fiddler的數據（指cookie,html,js,css等文件，這些都可以讓你胡亂修改的意思）。Fiddler要比其他的網頌遲此絡調試器要更加簡單，因為它不僅僅暴露http通訊還提供了一個用戶友好的格式。

1、下載fiddler

Ⅱ wireshark抓包命令總結

參考的循環抓包命令，其中的過濾條件需要根據實際情況修改（該命令最多佔用4G的存儲空間，且會在後台持續運行）：sudo nohup tcpmp -i [network_interface] port 80 -s 80 -C 80 -W 100 -w /tmp/waf.pcap &

-W filecount .  -C file_size . -s 80  snaplen 截取特定的長度

常用排錯過濾條件:

對於排查網路延時/應用問題有一些過濾條件是非常有用的：

tcp.analysis.lost_segment：表明已經在抓包中看到不連續的序列號。報文丟失會造成重復的ACK，這會導致重傳。

tcp.analysis.plicate_ack：顯示被確認過不止一次的報文。大涼的重復ACK是TCP端點之間高延時的跡象。

tcp.analysis.retransmission：顯示抓包中的所有重傳。如果重傳次數不多的話還是正常的，過多重傳可能有問題。拆槐這通常意味著應用性能緩慢和/或用戶報文丟失。

tcp.analysis.window_update：將傳輸過程中的TCP window大小圖形化。如果看到窗口大小下降為零，這意味著發送方已經退出了，並等待接收方確認所有已傳送數據。這可能表明接收端已經不堪重負了。

tcp.analysis.bytes_in_flight：某一時間點網路上未確認位元組數。未確認位元組數不能超過你的TCP窗口大小（定義於最初3此TCP握手），為了最大化吞吐量你想要獲得盡可能接寬御李近TCP窗口大小。如果看到連慎遲續低於TCP窗口大小，可能意味著報文丟失或路徑上其他影響吞吐量的問題。

tcp.analysis.ack_rtt：衡量抓取的TCP報文與相應的ACK。如果這一時間間隔比較長那可能表示某種類型的網路延時（報文丟失，擁塞，等等）。

Ⅲ 抓包工具有哪些

你在編程的時候才需要做抓包操作，你沒有必要專門下載一個工具，你只要使用chrome瀏覽器會自動的帶一款工具，而且非常有用。

Ⅳ 應用抓包之tcpmp命令抓包

原料
1.預抓包的App一個（我們以app抓包為例）
2.已配置android sdk
3.分析軟體Wireshark（Windows版）
4.抓包命令：tcpmp
5.模擬器或真機（以模擬器為例，真機需root）

首先我們先配置下環境變數
1.先來個ANDROID_HOME:SDK的路徑，類似於JAVA_HOME。（一勞永逸，以後安裝到別的路徑，改變一下HOME路徑就行）

2.把sdk路徑下的platfrom-tools和tools添加到環境變數

配置好就可以用adb命令了

1.執行tcpmp命令
tcpmp可以將網路中傳送的數據包完全截獲下來提供分析。

以上命令將截獲的數據包保存到sdcard，capture.pcap抓取是數據包，pcap為Wireshark分析文件的後綴。

這時抓包就開始了，在手機上刷新幾下要抓取數據的app。
抓完之後按ctrl+c停止抓包

2.將抓取的數據導出到電腦上（從sdcard導出到電腦上分析）
退出android shell環境(命令行輸入兩次exit)，回到Windows環境。

接著執行

導出剛才抓到的文件到電腦d盤。（如果導出失敗，自己手動把抓包數據復制到電腦上）

或者通過DDMS導出到電腦

3.Wireshark打開剛才獲取到的.pcap文件
過濾出http

點擊某一個抓到的http包，可以查看它的詳細信息(自己判斷一下可能是哪個域名)

我們可以看到是get請求

復制出來去請求一下（右鍵->復制->值）

去瀏覽器中請求

再結合app，看看是哪個界面的內容
4.新建個文本文件，保存抓到的借口。例如：

看看請求出來ip地址，順著ip找出所有的api借口

54開頭的就是我要抓的app。

Ⅳ windows下應用程序抓包有什麼好用的軟體

推薦兩款：fiddler和wireshark。
fiddler通過代理的方式獲取程序http通訊的數據，可以用其檢測網頁和伺服器的交互情況，能夠記錄所有客戶端和服務期間的http請求，支持見識、設置斷點、甚至修改輸入輸出數據等功能。
wireshark支持網路協議檢測，由程序抓取運行的網站資訊，包括每一封包的流向以及內容。支持查看、監控TCP session動態等。

Ⅵ 有哪些抓包工具

第五名：TCPDump（網路類）

根據白帽子黑客抓包工具的使用率，將TCPmp排在第五的位置。

第一名：BurpSuite (web 報文)

BurpSuite是現在Web安全滲透的必備工具。

它是一個集成平台，平台中匯集了可以用來攻擊web應用的工具，這些工具有很多介面，共享一個擴展性比較強的框架。

Ⅶ 適合Windows7的網路抓包工具有哪些

1、sniffer

嗅探器是一種監視網路數據運行的軟體設備，協議分析器既能用於合法網路管理也能用於竊取網路信息。網路運作和維護都可以採用協議分析器:如監視網路流量、分析數據包、監視網路資源利用、執行網路安全操作規則、鑒定分析網路數據以及診斷並修復網路問題等等。非法嗅探器嚴重威脅網路安全性，這是因為它實質上不能進行探測行為且容易隨處插入，所孝仿以網路黑客常將它作為攻擊武器。

2、wireshark

Wireshark(前稱Ethereal)是一個網路封包分析軟體。網路封包分巧清纖析軟體的功能是擷取網路封包，並盡可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面，直接與網卡進行數據報文交換。

3、WinNetCap

使用WinPcap開發包，嗅探流過網卡的數據並智能分析過濾，快速找到所需要的網路信息(音樂、視頻、圖片等)。

4、WinSock Expert

這是正兆一個用來監視和修改網路發送和接收數據的程序，可以用來幫助您調試網路應用程序，分析網路程序的通信協議(如分析OICQ的發送接收數據)，並且在必要的時候能夠修改發送的數據。

Ⅷ 四大網路抓包神器，總有一款適合你~

無論是開發還是測試，在工作中經常會遇到需要抓包的時候。本篇文章 主要介紹如何在各個平台下，高效的抓包。

目前的抓包軟體總體可以分為兩類：

一種是設置代理抓取http包，比如Charles、mitmproxy這些軟體。

另一種是直接抓取經過網卡的所有協議包，其中最出名就是大名鼎鼎的wireshark以及linux自帶的抓包軟體tcpmp。

下面重點介紹一下這四個抓包工具的特點以及使用。

wireshark想必大多數程序員都不會陌生。wireshark在各個平台都可以安裝使用，它 可以抓取經過指定網卡的所有協議。 wireshark雖然很強大，但是對初學者其實不是很友好。

這也正是由於它太強大，它可以抓取所有包，所以初學者在使用時面對茫茫數據流不知所措。初學者需要認真的去學習怎麼過濾得到自己感興趣的包，但是如果不熟悉wireshark的過濾語法，要過濾數據包將舉步維艱。

過濾語法簡單介紹

wireshark的過濾語法總結起來其實也很簡單，就是 以協議開頭，後面可以跟著協議的屬性，然後加上一些判斷符號， 比如contains、==、>、<等等。比如只想展示http的協議內容，則直接在過濾器輸入框中輸入http即可。

如下圖：

比如我 只想看http協議的請求頭中uri包含』/api』的協議，就可以這么寫：

如果想通過目標ip或者來源ip來過濾包，就不可以以http協議為前綴了，因為這些是ip協議的相關屬性。 通過目標ip來過濾可以這么寫：

上面表示目標機器的ip是61.135.217.100並且協議是http的包。

wireshark支持很多種協議，我們可以通過右上角的expression來打開搜索支持的協議，還可以找出協議支持的屬性，然後填入期待的值，軟體會自動為我們構建過濾語句。

優點：

功能強大，可以抓取所有協議的包

抓到的包容易分析

缺點：

由於線上伺服器沒有GUI，只有命令行，因此無法在線上伺服器使用

無法分析https數據包，由於wireshark是在鏈路層獲取的數據包信息，所以獲取到的https包是加密後的數據，因此無法分析包內容。當然，我們可以對https數據包進行解密， 但是操作具有一定的復雜度，可能要消耗很多時間。

tcpmp是linux上自帶的一個抓包軟體(mac也有)，功能強大，也可以抓取經過指定網卡的所有協議包。

由於是命令行工具，tcpmp抓取到的包不易於分析，一個常見的做法是將tcpmp抓到的包輸出到某個文件，然後將文件拷貝下來用wireshark分析。

一些簡單的過濾參數：

抓包內容輸出到文件：

之後我們可以把test.cap直接用wireshark打開，就可以很直觀的分析包了。

用tcpmp輸出cap文件包：

tcpmp-r test.cap

Charles是一款http抓包工具，它是通過代理來實現的抓包。也就是我們在訪問網頁時需要配置代理，將代理指向Charles監聽的埠，之後我們的http請求都會發向Charles的埠，之後Charles會幫我們轉發並記錄協議內容。

Charles的使用非常簡單，配置好代理後，Charles就開始抓包了。

我們可以直接通過Charles的GUi查看包的內容：

上圖中的unknown表示https加密後的數據，所以看到不協議的具體內容。我們可以通過安裝Charles的證書，讓Charles也可以查看https協議的具體內容。

優點 :

使用簡單，只需配置一下代理地址就可以

要抓取https協議的配置也很簡單，只要安裝下charles的證書就可以了

mitmproxy是python寫的一款http抓包工具，雖然只支持http抓包，但是它的特性非常強大，它不僅可以抓包，還可以對請求進行攔截、重現等操作。和Charles一樣，它的原理也是基於代理，使用的時候需要設置代理指向它。

mitmproxy是命令行工具，但是也自帶了mitmweb工具，可以讓用戶在網頁上操作。另外，mitmproxy還支持用戶自行編寫插件，可以編寫腳本對請求進行處理，然後把修改後的請求發出去。

1、安裝 

首先需要在機器安裝python3以及pip3.之後通過pip3安裝

pip3 install mitmproxy

如果安裝mitmproxy過程中報錯MoleNotFoundError: No mole named '_ssl'，就需要安裝一下OpenSSL，然後再重新編譯安裝一下python3。

安裝好openSSL後再執行pip3 install mitmproxy

2、使用 

安裝後，直接在命令行輸入mitmproxy就會進入它的交互界面：

這時候mitmproxy已經開始監聽8080埠(默認)，接著，我們可以去瀏覽器設置代理。瀏覽器設置代理的方式有很多,這里不多做介紹。

設置完代理後，訪問瀏覽器的請求都會被發到mitmproxy上，mitmproxy根據規則對請求進行攔截(不配置攔截規則的話則都不攔截)，所有經過的請求都會被輸出：

在交互界面上可以通過快捷鍵操作請求。輸入問號』?』，可以查看快捷鍵的文檔。

3、下面介紹一些常用的快捷鍵和功能

① 請求過濾  

在請求列表交互界面，按下f鍵後，可以輸入一些過濾規則：

具體的過濾語法可以按下』?『鍵後，再按下方向鍵右』—>』或者l鍵。

② 請求攔截 

按下i鍵後，可以對指定的請求進行攔截。按mitmproxy收到指定條件的請求時，不會立馬把它轉發出去，而是等待我們執行resume操作後，才會把請求轉發出去——在這期間我們甚至可以對請求進行手動修改。

紅色字體表示該請求被攔截，之後我們可以按入a鍵來恢復該請求，可以輸入A鍵恢復所有被攔截的請求。

③ 查看/編輯請求 

把指示游標移動到某個請求上，按回車可以查看請求的內容。或者滑鼠直接點擊請求也可以。

之後通過左右方向鍵可以查看request、response、detail等信息。

如果要編輯請求，可以在這個界面輸入e，然後會讓我們選擇編輯哪塊內容：

之後就會進入vim編輯界面編輯相應的內容了（保存後會生效）。

④ 重發請求 

mitmproxy的游標指向某個請求時，按下r鍵可以重發這個請求(重發前可以對該請求進行編輯)。

按下』:』鍵後，可以輸入命令，這樣我們就可以通過過濾規則批量的重發請求

replay.client是mitmproxy內置的一個命令，我們也可以自行編寫命令。命令的編寫可以參考官網文檔，這里不做介紹。

⑤ 插件開發 

我們可以編寫插件，然後再啟動的時候指定插件，mitmproxy處理請求的時候會執行一個插件的鏈，這樣我們就可以對請求進行編輯然後再發送出去了。

借用官網的插件demo：

這個方法對每一個請求進行處理，然後列印序號。通過mitmproxy -s test.py來讓插件生效。通過插件可以綁定各種連接事件。感興趣的朋友可以自行去mitmproxy官網看文檔，這里不多做介紹。

⑥ 保存抓到的請求數據 

通過w快捷鍵我們可以把這次抓到的請求包保存到文件上。

通過mitmproxy -r file可以讀取以前抓取的請求信息進行分析。

優點：

命令行操作，可以在無GUI界面的伺服器上使用

對於這幾個抓包神器，我總結了下使用場景：

只抓http協議的話：

推薦使用mitmproxy。mitmproxy豐富的功能不僅可以滿足我們的抓包需求，還可以提升我們的工作效率。比如測試可以抓包後一鍵重發請求來重現bug，開發調試的時候可以修改請求內容等等。

如果是在線上的沒有GUI的伺服器：

推薦使用tcpmp，雖然mitmproxy也可以支持命令行抓包，但是生產環境的伺服器最好不要亂安裝第三方插件。另外，大多數伺服器都有裝tcpmp。我們可以通過把請求的內容輸出到文件，然後拷貝會自己的電腦用wireshark分析。

想要抓取http以外的協議的話：

直接上wireshark。功能強大。對於Charles，感覺用了mitmproxy之後，就基本用不上Charles了。Charles好像也可以編輯後再發送，但是感覺不是很好用，可能我用的不是很熟吧。

Ⅸ tcpmp 命令使用簡介

tcpmp 是一款強大的網路抓包工具，運行在 linux 平台上。熟悉 tcpmp 的使用能夠幫助你分析、調試網路數據。

要想使用很好地掌握 tcpmp， 必須對網路報文（ TCP/IP 協議）有一定的了解。不過對於簡單的使用來說，只要有網路基礎概念就行了。

tcpmp 是一個很復雜的命令，想了解它的方方面面非常不易，也不值得推薦，能夠使用它解決日常工作中的問題才是關鍵。

tcpmp 的選項也很多，要想知道所有選項的話，請參考 man tcpmp ，下面只記錄 tcpmp 最常用的選項。

完整的英文文檔： https://www.tcpmp.org/tcpmp_man.html

需要注意的是，tcpmp 默認只會截取前 96 位元組的內容，要想截取所有的報文內容，可以使用 -s number ， number 就是你要截取的報文位元組數，如果是 0 的話，表示截取報文全部內容。

Frame = Ethernet Header + IP Header + TCP Header + TCP Segment Data

Ethernet Header 以下的IP數據報最大傳輸單位為 MTU （Maximum Transmission Unit，Effect of short board），對於大多數使用乙太網的區域網來說， MTU=1500 。

TCP數據包每次能夠傳輸的最大數據分段為MSS，為了達到最佳的傳輸效能，在建立TCP連接時塌禪雙方將協商MSS值——雙方提供的MSS值中的最小值為這次連接的最大MSS值。MSS往往基於MTU計算出來，通常 MSS =MTU-sizeof(IP Header)-sizeof(TCP Header)=1500-20-20=1460。

這樣，數據經過本地TCP層分段後，交給本地IP層，在本地IP層就不需要分片了。但是在下一跳路由（Next Hop）的鄰居路由器上可能發生IP分片！因為路由器的網卡的MTU可能小於需要轉發的IP數據報的大小。

這時候，在路由器上可能發生兩種情況：

（1）如果源發送端設置了這個IP數據包可以分片（May Fragment，DF=0），路由器將IP數據報分片後轉發。

（2）如果源發送端設置了這個IP數據報不可以分片（Don』t Fragment，DF=1），路由器將IP數據報丟棄，並發送ICMP分片錯誤消息給源發送端。

默認啟動，普通情況下，直接啟動tcpmp將監視第一個網路介面上所有流過的數據包

監聽所有埠，直接顯示 ip 地址。

顯示更詳細的數據報文，包括 tos, ttl, checksum 等。

顯示數據報的全部數據信息，用 hex 和 ascii 兩列對比輸出。

下面是抓取 ping 命令的請求和返回的兩個報文，可以看到全部的數據。

機器上的網路報文數量異常的多，很多時候我們只關系和具體問題有關的數據報（比如訪問某個網站的數據，或者 icmp 超時的報文等等），而這些數據只佔到很小的一部分。把所有的數據截取下來，從裡面找到想要的信息無疑是一件很費時費力的工作。而 tcpmp 提供了靈活的語法可以精確地截取關心的數據報，簡化分析的工作量。這些選擇數據包的語句就是過濾器（filter）！

過濾器也可以簡單地分為三類： type , dir 和 proto 。

Type 讓你區分報文的類型，主要由 host （主機）, net （網路） 和 port （埠） 組成。 src 和 dst 也可以用來過濾報文的源地址和目的地址。

此外還有指定埠和數據報文范圍的過濾器：

過於過濾器的更多詳細信息，請訪問 tcpmp 官方 map page 的 PCAP-FILTER 部分

使用 tcpmp 截取數據報文的時候，默認會列印到屏幕的默認輸出，你會看到按照順序和格式，很多的數據一行行快速閃過，根本來不及看清楚所有的內容。不譽衫伏過，tcpmp 提供了把截取的數據保存到文件的功能，以便後面使用其他圖形工具（比如 wireshark，Snort）來分析慶攜。

-w 選項用來把數據報文輸出到文件，比如下面的命令就是把所有 80 埠的數據導入到文件

-r 可以讀取文件里的數據報文，顯示到屏幕上。

NOTE：保存到文件的數據不是屏幕上看到的文件信息，而是包含了額外信息的固定格式 pcap，需要特殊的軟體（如： Wireshark ）來查看，使用 vim 或者 cat 命令會出現亂碼。

過濾的真正強大之處在於你可以隨意組合它們，而連接它們的邏輯就是常用的 與/AND/&& 、 或/OR/|| 和 非/not/! 。

從上面的例子就可以看出，你可以隨意地組合之前的過濾器來截取自己期望的數據報，最重要的就是知道自己要精確匹配的數據室怎樣的！

對於比較復雜的過濾器表達式，為了邏輯的清晰，可以使用括弧。不過默認情況下，tcpmp 把 () 當做特殊的字元，所以必須使用單引號 ' 來消除歧義：

抓取所有經過eth1，目的地址是192.168.1.254或192.168.1.200埠是80的TCP數

抓取所有經過eth1，目標MAC地址是00:01:02:03:04:05的ICMP數據

抓取所有經過eth1，目的網路是192.168，但目的主機不是192.168.1.200的TCP數據

截取數據只是第一步，第二步就是理解這些數據，下面就解釋一下 tcpmp 命令輸出各部分的意義。

最基本也是最重要的信息就是數據報的源地址/埠和目的地址/埠，上面的例子第一條數據報中，源地址 ip 是 192.168.1.106 ，源埠是 56166 ，目的地址是 124.192.132.54 ，目的埠是 80 。 > 符號代表數據的方向。

此外，上面的三條數據還是 tcp 協議的三次握手過程，第一條就是 SYN 報文，這個可以通過 Flags [S] 看出。下面是常見的 TCP 報文的 Flags:

而第二條數據的 [S.] 表示 SYN-ACK ，就是 SYN 報文的應答報文。

如果是為了查看數據內容，建議用 tcpmp -s 0 -w filename 把數據包都保存下來，然後用wireshark的Follow TCP Stream/Follow UDP Stream來查看整個會話的內容。 -s 0 是抓取完整數據包，否則默認只抓68位元組。用tcpflow也可以方便的獲取TCP會話內容，支持tcpmp的各種表達式。

-c 參數對於運維人員來說也比較常用，因為流量比較大的伺服器，靠人工CTRL+C還是抓的太多，甚至導致伺服器宕機，於是可以用 -c 參數指定抓多少個包。

上面的命令計算抓10000個SYN包花費多少時間，可以判斷訪問量大概是多少。

Wireshark(以前是ethereal)是Windows下非常簡單易用的抓包工具。但在Linux下很難找到一個好用的圖形化抓包工具。
還好有Tcpmp。我們可以用Tcpmp + Wireshark 的完美組合實現：在 Linux 里抓包，然後在Windows 里分析包。

0x4745 為"GET"前兩個字母"GE"

0x4854 為"HTTP"前兩個字母"HT"

tcpmp 對截獲的數據並沒有進行徹底解碼，數據包內的大部分內容是使用十六進制的形式直接列印輸出的。顯然這不利於分析網路故障，通常的解決辦法是先使用帶 -w 參數的tcpmp 截獲數據並保存到文件中，然後再使用其他程序(如 Wireshark )進行解碼分析。當然也應該定義過濾規則，以避免捕獲的數據包填滿整個硬碟。

基本上tcpmp總的的輸出格式為： 系統時間 來源主機.埠 > 目標主機.埠 數據包參數

Ⅹ tcpmp常用的抓包命令

做OTT-IP TV這一行的，遇到問題經常需要抓網路包，tcpmp就是一個很好用的工具。如果不會tcpmp出門都不並銷好意思打招呼。

別看tcpmp有很多的選項，其實常用的也就那麼幾個，比如

tcpmp -i 網路介面 -s 網路數據包長度 -w 文件名

-i: 後面是網卡名。一般有eth0，eth1等網卡名，可以用ifconfig來查看你的設備上有哪些網卡名。

-s: 要抓取的網路包長度。我喜歡寫0，舉洞這就表示抓取完整長度的網路包，一個也不落下。

-w: 表示要將抓取絕答游到的網路包寫入一個文件，將來可以用wireshark這款網路包分析軟體打開查看。