抓取网络包的方法

网络包就是客户端（对我们而言通常就是机顶盒）与服务器端交互时的收发源数据
在碰到双向版本的时候，经常会碰上网络方面的问题，比如某个页面进不去、点播不正常之类的
这时候看打印往往效果不大，但是通过网络包的状态就能分辨出个大致来
我们通常使用Wireshark 这样一款免费软件抓取网络包
使用方法如下：
1.使用HUB（必须是HUB，不能是路由器或交换机）将装有Wireshark的电脑与要抓包的机顶盒接在一起
2.电脑端打开Wireshark
3.选择“Show the capture options”打开一个新的过滤器
4.选择与HUB相连的网卡
5.点击“Capture Filter”设置网络包过滤条件：（Hub会在连接在其上面的所有机器广播它收到或转发出去的
数据包，所以我们如果不设过滤条件将会收到我们自身电脑发出的无用包以及外部服务器过来的各种废数据。

）弹出的Filter设置窗口显示有多种过滤条件可设，通常我们使用IP 过滤和MAC 过滤两项。

例如IP 过滤，我们只要选择栏中“IP 192.168.4.199”然后在下面的Filter String 里输入你要过滤的特定IP（机顶盒的IP），在后续的抓包中就只会抓取与该IP有关的网络包，这样对我们后续分析起到了极大的便利作用。

6.“Start”
7.抓包完毕后点击“Stop the running live capture”
8.选择“File -> Save As”保存抓包文件为.pcap 文件，然后交给负责人分析附：一个正确的网络包的例子
wireshark简单的过滤条件
一、IP过滤：包括来源IP或者目标IP等于某个IP
比如：ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP
二、端口过滤：
比如：tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
三、协议过滤：tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包，如!ssl 或者not ssl
四、包长度过滤：
比如：
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后frame.len == 119 整个数据包长度,从eth开始到最后
五、http模式过滤：
例子:
http.request.method == “GET”
http.request.method == “POST”
http.reque st.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
一定包含如下
Content-Type:
六、连接符and / or
七、表达式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)。