网络抓包命令哪个好用

Ⅰ 抓包工具哪个好用，我要找的哪个cookie

Fiddler是一个http协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的http通讯，设置断点，查看所有的“进出”Fiddler的数据（指cookie,html,js,css等文件，这些都可以让你胡乱修改的意思）。Fiddler要比其他的网颂迟此络调试器要更加简单，因为它不仅仅暴露http通讯还提供了一个用户友好的格式。

1、下载fiddler

Ⅱ wireshark抓包命令总结

参考的循环抓包命令，其中的过滤条件需要根据实际情况修改（该命令最多占用4G的存储空间，且会在后台持续运行）：sudo nohup tcpmp -i [network_interface] port 80 -s 80 -C 80 -W 100 -w /tmp/waf.pcap &

-W filecount .  -C file_size . -s 80  snaplen 截取特定的长度

常用排错过滤条件:

对于排查网络延时/应用问题有一些过滤条件是非常有用的：

tcp.analysis.lost_segment：表明已经在抓包中看到不连续的序列号。报文丢失会造成重复的ACK，这会导致重传。

tcp.analysis.plicate_ack：显示被确认过不止一次的报文。大凉的重复ACK是TCP端点之间高延时的迹象。

tcp.analysis.retransmission：显示抓包中的所有重传。如果重传次数不多的话还是正常的，过多重传可能有问题。拆槐这通常意味着应用性能缓慢和/或用户报文丢失。

tcp.analysis.window_update：将传输过程中的TCP window大小图形化。如果看到窗口大小下降为零，这意味着发送方已经退出了，并等待接收方确认所有已传送数据。这可能表明接收端已经不堪重负了。

tcp.analysis.bytes_in_flight：某一时间点网络上未确认字节数。未确认字节数不能超过你的TCP窗口大小（定义于最初3此TCP握手），为了最大化吞吐量你想要获得尽可能接宽御李近TCP窗口大小。如果看到连慎迟续低于TCP窗口大小，可能意味着报文丢失或路径上其他影响吞吐量的问题。

tcp.analysis.ack_rtt：衡量抓取的TCP报文与相应的ACK。如果这一时间间隔比较长那可能表示某种类型的网络延时（报文丢失，拥塞，等等）。

Ⅲ 抓包工具有哪些

你在编程的时候才需要做抓包操作，你没有必要专门下载一个工具，你只要使用chrome浏览器会自动的带一款工具，而且非常有用。

Ⅳ 应用抓包之tcpmp命令抓包

原料
1.预抓包的App一个（我们以app抓包为例）
2.已配置android sdk
3.分析软件Wireshark（Windows版）
4.抓包命令：tcpmp
5.模拟器或真机（以模拟器为例，真机需root）

首先我们先配置下环境变量
1.先来个ANDROID_HOME:SDK的路径，类似于JAVA_HOME。（一劳永逸，以后安装到别的路径，改变一下HOME路径就行）

2.把sdk路径下的platfrom-tools和tools添加到环境变量

配置好就可以用adb命令了

1.执行tcpmp命令
tcpmp可以将网络中传送的数据包完全截获下来提供分析。

以上命令将截获的数据包保存到sdcard，capture.pcap抓取是数据包，pcap为Wireshark分析文件的后缀。

这时抓包就开始了，在手机上刷新几下要抓取数据的app。
抓完之后按ctrl+c停止抓包

2.将抓取的数据导出到电脑上（从sdcard导出到电脑上分析）
退出android shell环境(命令行输入两次exit)，回到Windows环境。

接着执行

导出刚才抓到的文件到电脑d盘。（如果导出失败，自己手动把抓包数据复制到电脑上）

或者通过DDMS导出到电脑

3.Wireshark打开刚才获取到的.pcap文件
过滤出http

点击某一个抓到的http包，可以查看它的详细信息(自己判断一下可能是哪个域名)

我们可以看到是get请求

复制出来去请求一下（右键->复制->值）

去浏览器中请求

再结合app，看看是哪个界面的内容
4.新建个文本文件，保存抓到的借口。例如：

看看请求出来ip地址，顺着ip找出所有的api借口

54开头的就是我要抓的app。

Ⅳ windows下应用程序抓包有什么好用的软件

推荐两款：fiddler和wireshark。
fiddler通过代理的方式获取程序http通讯的数据，可以用其检测网页和服务器的交互情况，能够记录所有客户端和服务期间的http请求，支持见识、设置断点、甚至修改输入输出数据等功能。
wireshark支持网络协议检测，由程序抓取运行的网站资讯，包括每一封包的流向以及内容。支持查看、监控TCP session动态等。

Ⅵ 有哪些抓包工具

第五名：TCPDump（网络类）

根据白帽子黑客抓包工具的使用率，将TCPmp排在第五的位置。

第一名：BurpSuite (web 报文)

BurpSuite是现在Web安全渗透的必备工具。

它是一个集成平台，平台中汇集了可以用来攻击web应用的工具，这些工具有很多接口，共享一个扩展性比较强的框架。

Ⅶ 适合Windows7的网络抓包工具有哪些

1、sniffer

嗅探器是一种监视网络数据运行的软件设备，协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性，这是因为它实质上不能进行探测行为且容易随处插入，所孝仿以网络黑客常将它作为攻击武器。

2、wireshark

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分巧清纤析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

3、WinNetCap

使用WinPcap开发包，嗅探流过网卡的数据并智能分析过滤，快速找到所需要的网络信息(音乐、视频、图片等)。

4、WinSock Expert

这是正兆一个用来监视和修改网络发送和接收数据的程序，可以用来帮助您调试网络应用程序，分析网络程序的通信协议(如分析OICQ的发送接收数据)，并且在必要的时候能够修改发送的数据。

Ⅷ 四大网络抓包神器，总有一款适合你~

无论是开发还是测试，在工作中经常会遇到需要抓包的时候。本篇文章 主要介绍如何在各个平台下，高效的抓包。

目前的抓包软件总体可以分为两类：

一种是设置代理抓取http包，比如Charles、mitmproxy这些软件。

另一种是直接抓取经过网卡的所有协议包，其中最出名就是大名鼎鼎的wireshark以及linux自带的抓包软件tcpmp。

下面重点介绍一下这四个抓包工具的特点以及使用。

wireshark想必大多数程序员都不会陌生。wireshark在各个平台都可以安装使用，它 可以抓取经过指定网卡的所有协议。 wireshark虽然很强大，但是对初学者其实不是很友好。

这也正是由于它太强大，它可以抓取所有包，所以初学者在使用时面对茫茫数据流不知所措。初学者需要认真的去学习怎么过滤得到自己感兴趣的包，但是如果不熟悉wireshark的过滤语法，要过滤数据包将举步维艰。

过滤语法简单介绍

wireshark的过滤语法总结起来其实也很简单，就是 以协议开头，后面可以跟着协议的属性，然后加上一些判断符号， 比如contains、==、>、<等等。比如只想展示http的协议内容，则直接在过滤器输入框中输入http即可。

如下图：

比如我 只想看http协议的请求头中uri包含’/api’的协议，就可以这么写：

如果想通过目标ip或者来源ip来过滤包，就不可以以http协议为前缀了，因为这些是ip协议的相关属性。 通过目标ip来过滤可以这么写：

上面表示目标机器的ip是61.135.217.100并且协议是http的包。

wireshark支持很多种协议，我们可以通过右上角的expression来打开搜索支持的协议，还可以找出协议支持的属性，然后填入期待的值，软件会自动为我们构建过滤语句。

优点：

功能强大，可以抓取所有协议的包

抓到的包容易分析

缺点：

由于线上服务器没有GUI，只有命令行，因此无法在线上服务器使用

无法分析https数据包，由于wireshark是在链路层获取的数据包信息，所以获取到的https包是加密后的数据，因此无法分析包内容。当然，我们可以对https数据包进行解密， 但是操作具有一定的复杂度，可能要消耗很多时间。

tcpmp是linux上自带的一个抓包软件(mac也有)，功能强大，也可以抓取经过指定网卡的所有协议包。

由于是命令行工具，tcpmp抓取到的包不易于分析，一个常见的做法是将tcpmp抓到的包输出到某个文件，然后将文件拷贝下来用wireshark分析。

一些简单的过滤参数：

抓包内容输出到文件：

之后我们可以把test.cap直接用wireshark打开，就可以很直观的分析包了。

用tcpmp输出cap文件包：

tcpmp-r test.cap

Charles是一款http抓包工具，它是通过代理来实现的抓包。也就是我们在访问网页时需要配置代理，将代理指向Charles监听的端口，之后我们的http请求都会发向Charles的端口，之后Charles会帮我们转发并记录协议内容。

Charles的使用非常简单，配置好代理后，Charles就开始抓包了。

我们可以直接通过Charles的GUi查看包的内容：

上图中的unknown表示https加密后的数据，所以看到不协议的具体内容。我们可以通过安装Charles的证书，让Charles也可以查看https协议的具体内容。

优点 :

使用简单，只需配置一下代理地址就可以

要抓取https协议的配置也很简单，只要安装下charles的证书就可以了

mitmproxy是python写的一款http抓包工具，虽然只支持http抓包，但是它的特性非常强大，它不仅可以抓包，还可以对请求进行拦截、重现等操作。和Charles一样，它的原理也是基于代理，使用的时候需要设置代理指向它。

mitmproxy是命令行工具，但是也自带了mitmweb工具，可以让用户在网页上操作。另外，mitmproxy还支持用户自行编写插件，可以编写脚本对请求进行处理，然后把修改后的请求发出去。

1、安装 

首先需要在机器安装python3以及pip3.之后通过pip3安装

pip3 install mitmproxy

如果安装mitmproxy过程中报错MoleNotFoundError: No mole named '_ssl'，就需要安装一下OpenSSL，然后再重新编译安装一下python3。

安装好openSSL后再执行pip3 install mitmproxy

2、使用 

安装后，直接在命令行输入mitmproxy就会进入它的交互界面：

这时候mitmproxy已经开始监听8080端口(默认)，接着，我们可以去浏览器设置代理。浏览器设置代理的方式有很多,这里不多做介绍。

设置完代理后，访问浏览器的请求都会被发到mitmproxy上，mitmproxy根据规则对请求进行拦截(不配置拦截规则的话则都不拦截)，所有经过的请求都会被输出：

在交互界面上可以通过快捷键操作请求。输入问号’?’，可以查看快捷键的文档。

3、下面介绍一些常用的快捷键和功能

① 请求过滤  

在请求列表交互界面，按下f键后，可以输入一些过滤规则：

具体的过滤语法可以按下’?‘键后，再按下方向键右’—>’或者l键。

② 请求拦截 

按下i键后，可以对指定的请求进行拦截。按mitmproxy收到指定条件的请求时，不会立马把它转发出去，而是等待我们执行resume操作后，才会把请求转发出去——在这期间我们甚至可以对请求进行手动修改。

红色字体表示该请求被拦截，之后我们可以按入a键来恢复该请求，可以输入A键恢复所有被拦截的请求。

③ 查看/编辑请求 

把指示光标移动到某个请求上，按回车可以查看请求的内容。或者鼠标直接点击请求也可以。

之后通过左右方向键可以查看request、response、detail等信息。

如果要编辑请求，可以在这个界面输入e，然后会让我们选择编辑哪块内容：

之后就会进入vim编辑界面编辑相应的内容了（保存后会生效）。

④ 重发请求 

mitmproxy的光标指向某个请求时，按下r键可以重发这个请求(重发前可以对该请求进行编辑)。

按下’:’键后，可以输入命令，这样我们就可以通过过滤规则批量的重发请求

replay.client是mitmproxy内置的一个命令，我们也可以自行编写命令。命令的编写可以参考官网文档，这里不做介绍。

⑤ 插件开发 

我们可以编写插件，然后再启动的时候指定插件，mitmproxy处理请求的时候会执行一个插件的链，这样我们就可以对请求进行编辑然后再发送出去了。

借用官网的插件demo：

这个方法对每一个请求进行处理，然后打印序号。通过mitmproxy -s test.py来让插件生效。通过插件可以绑定各种连接事件。感兴趣的朋友可以自行去mitmproxy官网看文档，这里不多做介绍。

⑥ 保存抓到的请求数据 

通过w快捷键我们可以把这次抓到的请求包保存到文件上。

通过mitmproxy -r file可以读取以前抓取的请求信息进行分析。

优点：

命令行操作，可以在无GUI界面的服务器上使用

对于这几个抓包神器，我总结了下使用场景：

只抓http协议的话：

推荐使用mitmproxy。mitmproxy丰富的功能不仅可以满足我们的抓包需求，还可以提升我们的工作效率。比如测试可以抓包后一键重发请求来重现bug，开发调试的时候可以修改请求内容等等。

如果是在线上的没有GUI的服务器：

推荐使用tcpmp，虽然mitmproxy也可以支持命令行抓包，但是生产环境的服务器最好不要乱安装第三方插件。另外，大多数服务器都有装tcpmp。我们可以通过把请求的内容输出到文件，然后拷贝会自己的电脑用wireshark分析。

想要抓取http以外的协议的话：

直接上wireshark。功能强大。对于Charles，感觉用了mitmproxy之后，就基本用不上Charles了。Charles好像也可以编辑后再发送，但是感觉不是很好用，可能我用的不是很熟吧。

Ⅸ tcpmp 命令使用简介

tcpmp 是一款强大的网络抓包工具，运行在 linux 平台上。熟悉 tcpmp 的使用能够帮助你分析、调试网络数据。

要想使用很好地掌握 tcpmp， 必须对网络报文（ TCP/IP 协议）有一定的了解。不过对于简单的使用来说，只要有网络基础概念就行了。

tcpmp 是一个很复杂的命令，想了解它的方方面面非常不易，也不值得推荐，能够使用它解决日常工作中的问题才是关键。

tcpmp 的选项也很多，要想知道所有选项的话，请参考 man tcpmp ，下面只记录 tcpmp 最常用的选项。

完整的英文文档： https://www.tcpmp.org/tcpmp_man.html

需要注意的是，tcpmp 默认只会截取前 96 字节的内容，要想截取所有的报文内容，可以使用 -s number ， number 就是你要截取的报文字节数，如果是 0 的话，表示截取报文全部内容。

Frame = Ethernet Header + IP Header + TCP Header + TCP Segment Data

Ethernet Header 以下的IP数据报最大传输单位为 MTU （Maximum Transmission Unit，Effect of short board），对于大多数使用以太网的局域网来说， MTU=1500 。

TCP数据包每次能够传输的最大数据分段为MSS，为了达到最佳的传输效能，在建立TCP连接时塌禅双方将协商MSS值——双方提供的MSS值中的最小值为这次连接的最大MSS值。MSS往往基于MTU计算出来，通常 MSS =MTU-sizeof(IP Header)-sizeof(TCP Header)=1500-20-20=1460。

这样，数据经过本地TCP层分段后，交给本地IP层，在本地IP层就不需要分片了。但是在下一跳路由（Next Hop）的邻居路由器上可能发生IP分片！因为路由器的网卡的MTU可能小于需要转发的IP数据报的大小。

这时候，在路由器上可能发生两种情况：

（1）如果源发送端设置了这个IP数据包可以分片（May Fragment，DF=0），路由器将IP数据报分片后转发。

（2）如果源发送端设置了这个IP数据报不可以分片（Don’t Fragment，DF=1），路由器将IP数据报丢弃，并发送ICMP分片错误消息给源发送端。

默认启动，普通情况下，直接启动tcpmp将监视第一个网络接口上所有流过的数据包

监听所有端口，直接显示 ip 地址。

显示更详细的数据报文，包括 tos, ttl, checksum 等。

显示数据报的全部数据信息，用 hex 和 ascii 两列对比输出。

下面是抓取 ping 命令的请求和返回的两个报文，可以看到全部的数据。

机器上的网络报文数量异常的多，很多时候我们只关系和具体问题有关的数据报（比如访问某个网站的数据，或者 icmp 超时的报文等等），而这些数据只占到很小的一部分。把所有的数据截取下来，从里面找到想要的信息无疑是一件很费时费力的工作。而 tcpmp 提供了灵活的语法可以精确地截取关心的数据报，简化分析的工作量。这些选择数据包的语句就是过滤器（filter）！

过滤器也可以简单地分为三类： type , dir 和 proto 。

Type 让你区分报文的类型，主要由 host （主机）, net （网络） 和 port （端口） 组成。 src 和 dst 也可以用来过滤报文的源地址和目的地址。

此外还有指定端口和数据报文范围的过滤器：

过于过滤器的更多详细信息，请访问 tcpmp 官方 map page 的 PCAP-FILTER 部分

使用 tcpmp 截取数据报文的时候，默认会打印到屏幕的默认输出，你会看到按照顺序和格式，很多的数据一行行快速闪过，根本来不及看清楚所有的内容。不誉衫伏过，tcpmp 提供了把截取的数据保存到文件的功能，以便后面使用其他图形工具（比如 wireshark，Snort）来分析庆携。

-w 选项用来把数据报文输出到文件，比如下面的命令就是把所有 80 端口的数据导入到文件

-r 可以读取文件里的数据报文，显示到屏幕上。

NOTE：保存到文件的数据不是屏幕上看到的文件信息，而是包含了额外信息的固定格式 pcap，需要特殊的软件（如： Wireshark ）来查看，使用 vim 或者 cat 命令会出现乱码。

过滤的真正强大之处在于你可以随意组合它们，而连接它们的逻辑就是常用的 与/AND/&& 、 或/OR/|| 和 非/not/! 。

从上面的例子就可以看出，你可以随意地组合之前的过滤器来截取自己期望的数据报，最重要的就是知道自己要精确匹配的数据室怎样的！

对于比较复杂的过滤器表达式，为了逻辑的清晰，可以使用括号。不过默认情况下，tcpmp 把 () 当做特殊的字符，所以必须使用单引号 ' 来消除歧义：

抓取所有经过eth1，目的地址是192.168.1.254或192.168.1.200端口是80的TCP数

抓取所有经过eth1，目标MAC地址是00:01:02:03:04:05的ICMP数据

抓取所有经过eth1，目的网络是192.168，但目的主机不是192.168.1.200的TCP数据

截取数据只是第一步，第二步就是理解这些数据，下面就解释一下 tcpmp 命令输出各部分的意义。

最基本也是最重要的信息就是数据报的源地址/端口和目的地址/端口，上面的例子第一条数据报中，源地址 ip 是 192.168.1.106 ，源端口是 56166 ，目的地址是 124.192.132.54 ，目的端口是 80 。 > 符号代表数据的方向。

此外，上面的三条数据还是 tcp 协议的三次握手过程，第一条就是 SYN 报文，这个可以通过 Flags [S] 看出。下面是常见的 TCP 报文的 Flags:

而第二条数据的 [S.] 表示 SYN-ACK ，就是 SYN 报文的应答报文。

如果是为了查看数据内容，建议用 tcpmp -s 0 -w filename 把数据包都保存下来，然后用wireshark的Follow TCP Stream/Follow UDP Stream来查看整个会话的内容。 -s 0 是抓取完整数据包，否则默认只抓68字节。用tcpflow也可以方便的获取TCP会话内容，支持tcpmp的各种表达式。

-c 参数对于运维人员来说也比较常用，因为流量比较大的服务器，靠人工CTRL+C还是抓的太多，甚至导致服务器宕机，于是可以用 -c 参数指定抓多少个包。

上面的命令计算抓10000个SYN包花费多少时间，可以判断访问量大概是多少。

Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。
还好有Tcpmp。我们可以用Tcpmp + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。

0x4745 为"GET"前两个字母"GE"

0x4854 为"HTTP"前两个字母"HT"

tcpmp 对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障，通常的解决办法是先使用带 -w 参数的tcpmp 截获数据并保存到文件中，然后再使用其他程序(如 Wireshark )进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。

基本上tcpmp总的的输出格式为： 系统时间 来源主机.端口 > 目标主机.端口 数据包参数

Ⅹ tcpmp常用的抓包命令

做OTT-IP TV这一行的，遇到问题经常需要抓网络包，tcpmp就是一个很好用的工具。如果不会tcpmp出门都不并销好意思打招呼。

别看tcpmp有很多的选项，其实常用的也就那么几个，比如

tcpmp -i 网络接口 -s 网络数据包长度 -w 文件名

-i: 后面是网卡名。一般有eth0，eth1等网卡名，可以用ifconfig来查看你的设备上有哪些网卡名。

-s: 要抓取的网络包长度。我喜欢写0，举洞这就表示抓取完整长度的网络包，一个也不落下。

-w: 表示要将抓取绝答游到的网络包写入一个文件，将来可以用wireshark这款网络包分析软件打开查看。