本文是雪域論壇的一篇優(yōu)秀文章

參見雪論壇作者ID:樓

數(shù)據(jù)包嗅探分析工具

代碼云git地址:

https://gitee.com/lougd/snifferview.git

已編譯的可執(zhí)行文件:

https://pan.baidu.com/s/1XapqLl7YgjkO5yhrNPqehg

作者聯(lián)系方式:QQ:412776488 mail:lougdhr@126.com

如果你覺得這個工具對你有幫助，請點一顆星，謝謝！

發(fā)展記錄

這個工具的第一個版本是在2015年制作的，因為經(jīng)常需要在不同的終端PC上進(jìn)行數(shù)據(jù)包捕獲和網(wǎng)絡(luò)協(xié)議分析，而wireshark一直用于數(shù)據(jù)包捕獲分析。wireshark的安裝包比較大，每次安裝都太繁瑣，不支持環(huán)回網(wǎng)絡(luò)包的捕獲，所以決定自己做包協(xié)議分析工具。

所以有了這個工具的第一個版本。然后在使用的同時豐富工具的功能，現(xiàn)在就有這個版本了。

主要功能和特點

該工具不是一個演示，而是一個穩(wěn)定、實用、功能強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)包修改和分析工具。如果需要經(jīng)常捕獲、分析和記錄網(wǎng)絡(luò)數(shù)據(jù)包，可以使用這個工具。

工具功能截圖

軟件體系結(jié)構(gòu)

ComLib子項目:

基本功能的靜態(tài)庫為每個子功能提供通用的基本功能組件。

SnifferView子項目:

主要功能模塊實現(xiàn)主要功能，包括網(wǎng)絡(luò)數(shù)據(jù)包嗅探、過濾語句編譯解析器實現(xiàn)、網(wǎng)絡(luò)協(xié)議分析、數(shù)據(jù)流查看等。

轉(zhuǎn)儲子項目:

異常捕獲處理模塊捕獲未處理的異常，并生成異常轉(zhuǎn)儲和異常日志，用于分析異常的原因。

語法視圖子項目:

語法高亮控件，基于Scintilla，目前用于顯示tcp數(shù)據(jù)流。

指令

這個程序只有一個可執(zhí)行程序，程序啟動后就開始包嗅探。但是由于此時沒有過濾語句，會捕獲到很多數(shù)據(jù)包，所以可以在主界面的過濾規(guī)則框中輸入合適的過濾規(guī)則來捕獲感興趣的網(wǎng)絡(luò)數(shù)據(jù)包。特定的過濾規(guī)則和wireshark類型已經(jīng)過優(yōu)化。主要規(guī)則如下。

嗅探器查看過濾規(guī)則:

嗅探器視圖的過濾器語法示例:

Ip.addr== 192.168。168.231過濾ip源地址或目的地址為192.168的網(wǎng)絡(luò)數(shù)據(jù)包。168.231

Icmp過濾icmp協(xié)議的數(shù)據(jù)包

Tcp.src== 8345使用Tcp源端口8345過濾網(wǎng)絡(luò)數(shù)據(jù)包

tcp.length>。128過濾長度大于128字節(jié)的tcp數(shù)據(jù)包，不包括ip報頭和tcp報頭

Tcp包含“獲取”過濾器，過濾內(nèi)容中帶有獲取字符串的TCP數(shù)據(jù)包

Tcp[ 4:n32]== 0x12ff過濾偏移4字節(jié)的Tcp用戶數(shù)據(jù)，以獲取32位數(shù)據(jù)大小為0x12ff的數(shù)據(jù)包

Tcp.flag.syn過濾標(biāo)有syn的Tcp數(shù)據(jù)包

Tcp[字符]==“獲取”過濾數(shù)據(jù)包，其TCP用戶數(shù)據(jù)偏移量為0字節(jié)

Http過濾http協(xié)議

Http。獲取過濾器http的獲取協(xié)議

Http.post篩選器http post協(xié)議

Http.resp過濾Http的返回數(shù)據(jù)包