Wireshark 这个抓包工具比较强大,具体的网上能查到很多,我只是简单说下一些常用的命令:
ip.addr==需要查的IP地址 and tcp.port==443 : 查询地址和端口号匹配的记录
ip and (tcp.port==4437 or tcp.port==5775) :查询协议和端口号匹配的记录选中要看的那条记录--右击--Follow TCP Stream 就能看到包里的信息了。如果是明文可以直接看到内容,如果加密了看到的就是乱码。
Wireshark虽然强大,但是无法抓取本地回环数据。也就是说:当你本地测试一个socket程序,发送/接收到本地端口的时候,Wireshark就无能为力了(网上有说设置路由的router,我没配置成功)。这个时候需要另外一个工具:
RawCap 。具体命令如下:进入命令行(cmd),运行代码如下:
格式:RawCap.exe [选项] <接口> <数据包名>
RawCap.exe 127.0.0.1 dumpfile.pcap 或者 RawCap.exe 本地IP dumpfile.pcap。
通过交互式的方式:在命令行中直接输入RawCap.exe
抓好包后,按Ctrl+C,停止抓包。这个时候会在RawCap的同级目录下显示一个dumpfile.pcap文件。通过wireshark打开,就可以看到本地环回的数据包了。
