伺服器抓包工具

1、linux伺服器抓包工具哪個好

linux下有命令可直接執行抓包的，命令如下：
1、tcpmp -vv -i ethN -s 10240 -w /root/abc.cap host ip
2、上述命令中，ethN,是你要抓的本機網版卡，一般是eth0,可使用權ifconfig查看使用的哪個網卡
-s 指定的是抓包數量 -w指定的是抓到的包寫到哪個位置 host ip即為抓取哪個ip 的包

2、怎樣在區域網內抓包，比如Sniffit?

你是網路管理員嗎？你是不是有過這樣的經歷：在某一天的早上你突然發現網路性能急劇下降，網路服務不能正常提供，伺服器訪問速度極慢甚至不能訪問，網路交換機埠指示燈瘋狂地閃爍、網路出口處的路由器已經處於滿負荷的工作狀態、路由器CPU已經到了百分之百的負荷……重啟動後沒有幾分鍾現象又重新出現了。

這是什麼問題？設備壞了嗎？不可能幾台設備同時出問題。一定是有什麼大流量的數據文件，耗盡了網路設備的資源，它們是什麼？怎麼看到它們？這時有經驗的網管人員會想到用區域網抓包工具來分析一下。

你一定聽說過紅色代碼、Nimda、沖擊波以及震盪波這些臭名昭著的網路殺手。就是它們製造了上述種種惡行。它們來勢洶洶，阻塞網路、感染主機，讓網路管理員苦不堪言。當網路病毒出現時，如何才能及時發現染毒主機？下面我根據網路病毒都有掃描網路地址的特點，給大家介紹一個很實用的方法：用抓包工具尋找病毒源。

1．安裝抓包工具。目的就是用它分析網路數據包的內容。找一個免費的或者試用版的抓包工具並不難。我使用了一種叫做SpyNet3.12 的抓包工具，非常小巧, 運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設置抓包的類型，比如是要捕獲IP包還是ARP包，還可以根據目的地址的不同，設置更詳細的過濾參數。

2．配置網路路由。你的路由器有預設網關嗎？如果有，指向了哪裡？在病毒爆發的時候把預設網關指向另外一台路由器是很危險的（除非你想搞癱這台路由器）。在一些企業網里往往僅指出網內地址段的路由，而不加預設路由，那麼就把預設路由指到抓包主機上吧（它不下地獄誰下地獄？當然這台主機的性能最好是高一點的，否則很容易被病毒沖擊而亡）。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上，所有對外訪問的網路包都會被分析到。

3．開始抓包。抓包主機已經設置好了，網路里的數據包也已經送過來了，那麼我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來，這些就是被捕獲的數據包（如圖）。

圖中的主體窗口裡顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP地址、協議類型、源目的埠號等內容。很容易看出IP地址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求，並且目的埠都是445。

4.找出染毒主機。從抓包的情況看，主機10.32.20.71值得懷疑。首先我們看一下目的IP地址，這些地址我們網路里存在嗎？很可能網路里根本就沒有這些網段。其次，正常情況下訪問主機有可能在這么短的時間里發起這么多的訪問請求嗎？在毫秒級的時間內發出幾十甚至幾百個連接請求，正常嗎？顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協議，該協議存在拒絕服務攻擊的漏洞，連接埠是445，從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP地址。剩下的工作就是給該主機操作系統打補丁殺病毒了。

既然抓到了病毒包，我們看一下這個數據包二進制的解碼內容：

這些數據包的長度都是62個位元組。數據包前12個位元組包括了目的MAC和源MAC的地址信息，緊跟著的2位元組指出了數據包的類型，0800代表的是IP包格式，0806代表ARP包格式。接著的20個位元組是封裝的IP包頭，包括了源、目的IP地址、IP版本號等信息。剩下的28個位元組封裝的是TCP包頭，包括了源、目的埠，TCP鏈接的狀態信息等。這就構成了一個62位元組的包。可以看出除了這些包頭數據之外，這個包沒有攜帶其他任何的有效數據負荷，所以這是一個TCP要求445埠同步的空包，也就是病毒主機在掃描445埠。一旦染毒主機同步上沒有採取防護措施的主機445埠，便會利用系統漏洞傳播感染。

3、如何在遠程伺服器上抓包

你的意思是說在windows上運行sniffer程序抓linux伺服器上的包？ 這個功能不是wireshark這類sniffer能做到的，首先要保證你linux伺服器上的包能同時發到windows的機器上，可以通過在交換機上設置來實現。如果對實時性要求不是那麼高的話，也可以在linux上用tcpmp將流量保存到本地文件，再拿到windows上分析。

4、除了wireshark,還有哪些抓包工具呢

中文的有科來網路分析系統。英文的有Sniffer、IP Tool等。
最有名的還是Sniffer和WireShark。WireShark的前身是Ethereal，也很有名。

5、抓包工具是在伺服器上用還是終端上用

都行

6、如何學習伺服器抓包？

在伺服器上面安裝抓包軟體，然後就可以讀取伺服器網卡上面數據，但要分析不同欄位。我用的是小鳥雲伺服器，感覺挺好的。

7、web抓包工具有哪些

HTTP Analyzer
界面非常直觀,無需選擇要抓包的瀏覽器或者軟體，直接全局抓取，很內傻瓜化，但是功能決定不容簡單。其他抓包工具有的功能它有，其他沒有的功能它也有。點擊start即可進行抓包,紅色按鈕停止抓包，停止按鈕右邊的就是暫停抓包按鈕。
HttpWatch
界面和HTTP Analyzer有點像，但是功能少了幾個。而且只能附加到瀏覽器進行抓包。附加的辦法：打開瀏覽器-》查看-》瀏覽器欄-》HttpWatch，然後點record即可抓包。
特點：抓包功能強大，但是只能依附在IE上。Post提交的數據只有參數和參數的值，沒有顯示提交的url編碼數據。
HTTPDebugger
同樣是全局抓包，抓包和停止抓包同個按鈕。軟體界面感覺沒有那麼友好，POST的數據只能在requestcontent內查看，只顯示提交的url編碼數據

8、linux抓包工具有哪些

有一個抓包軟體叫tcpmp的 其它如wireshark需要找到linux版本進行安裝。

9、有哪些抓包工具？

第五名：TCPDump（網路類）

根據白帽子黑客抓包工具的使用率，將TCPmp排在第五的位置。

TCPmp

TCPmp功能很強大，能夠搞到所有層的數據。Linux作為路由器和網關這種網路伺服器時，就少不了數據的採集、分析工作。而TCPmp恰好是一種功能強大的網路數據採集分析工具。

簡單來說就是，可以根據用戶的定義來截獲網路上數據包的包分析工具。

TCPmp的功能和截取策略，捕獲了高級系統管理員的芳心，成為其分析和排除問題的一種必備工具。

第四名：Wireshark（網路類）

Wireshark（前稱Ethereal）是一個網路封包分析軟體，是最流行的一種圖形化的抓包工具，而且在Windows、Mac、Linux等三種系統中都有合適的版本。

Wireshark

Wireshark可以被用來檢測網路問題、資訊安全問題、學習網路協定相關的知識，或者為新的通訊協定除錯。它是白帽子黑客、網路管理員、安全工作人員的必備工具之一。

第三名：HttpWatch（Web報文）

HttpWatch在IE瀏覽器的工具欄中，是功能比較強大的一種網頁數據分析工具，而且能夠收集顯示較為深層的信息。

它不依賴於代理伺服器、網路監控工具，就可以將網頁和網頁請求信息、日誌信息同時顯示。另外，它還可以顯示一些交換信息。

fiddler

第二名：Fiddler(web報文)

Fiddler是白帽子黑客最經常使用的，是可以進行http協議調試的一種web報文滲透工具。

它可以記錄電腦聯網的所有通訊，可以查看所有「出入」Fiddler的cookie, html, js, css等數據。並且優點是使用起來非常簡單。

第一名：BurpSuite (web 報文)

BurpSuite是現在Web安全滲透的必備工具。

它是一個集成平台，平台中匯集了可以用來攻擊web應用的工具，這些工具有很多介面，共享一個擴展性比較強的框架。

10、什麼是抓包工具?

你是網路管理員嗎？你是不是有過這樣的經歷：在某一天的早上你突然發現網路性能急劇下降，網路服務不能正常提供，伺服器訪問速度極慢甚至不能訪問，網路交換機埠指示燈瘋狂地閃爍、網路出口處的路由器已經處於滿負荷的工作狀態、路由器CPU已經到了百分之百的負荷……重啟動後沒有幾分鍾現象又重新出現了。

這是什麼問題？設備壞了嗎？不可能幾台設備同時出問題。一定是有什麼大流量的數據文件，耗盡了網路設備的資源，它們是什麼？怎麼看到它們？這時有經驗的網管人員會想到用區域網抓包工具來分析一下。

你一定聽說過紅色代碼、Nimda、沖擊波以及震盪波這些臭名昭著的網路殺手。就是它們製造了上述種種惡行。它們來勢洶洶，阻塞網路、感染主機，讓網路管理員苦不堪言。當網路病毒出現時，如何才能及時發現染毒主機？下面我根據網路病毒都有掃描網路地址的特點，給大家介紹一個很實用的方法：用抓包工具尋找病毒源。

1．安裝抓包工具。目的就是用它分析網路數據包的內容。找一個免費的或者試用版的抓包工具並不難。我使用了一種叫做SpyNet3.12 的抓包工具，非常小巧, 運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設置抓包的類型，比如是要捕獲IP包還是ARP包，還可以根據目的地址的不同，設置更詳細的過濾參數。

2．配置網路路由。你的路由器有預設網關嗎？如果有，指向了哪裡？在病毒爆發的時候把預設網關指向另外一台路由器是很危險的（除非你想搞癱這台路由器）。在一些企業網里往往僅指出網內地址段的路由，而不加預設路由，那麼就把預設路由指到抓包主機上吧（它不下地獄誰下地獄？當然這台主機的性能最好是高一點的，否則很容易被病毒沖擊而亡）。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上，所有對外訪問的網路包都會被分析到。

3．開始抓包。抓包主機已經設置好了，網路里的數據包也已經送過來了，那麼我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來，這些就是被捕獲的數據包（如圖）。

圖中的主體窗口裡顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP地址、協議類型、源目的埠號等內容。很容易看出IP地址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求，並且目的埠都是445。

4.找出染毒主機。從抓包的情況看，主機10.32.20.71值得懷疑。首先我們看一下目的IP地址，這些地址我們網路里存在嗎？很可能網路里根本就沒有這些網段。其次，正常情況下訪問主機有可能在這么短的時間里發起這么多的訪問請求嗎？在毫秒級的時間內發出幾十甚至幾百個連接請求，正常嗎？顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協議，該協議存在拒絕服務攻擊的漏洞，連接埠是445，從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP地址。剩下的工作就是給該主機操作系統打補丁殺病毒了。

既然抓到了病毒包，我們看一下這個數據包二進制的解碼內容：

這些數據包的長度都是62個位元組。數據包前12個位元組包括了目的MAC和源MAC的地址信息，緊跟著的2位元組指出了數據包的類型，0800代表的是IP包格式，0806代表ARP包格式。接著的20個位元組是封裝的IP包頭，包括了源、目的IP地址、IP版本號等信息。剩下的28個位元組封裝的是TCP包頭，包括了源、目的埠，TCP鏈接的狀態信息等。這就構成了一個62位元組的包。可以看出除了這些包頭數據之外，這個包沒有攜帶其他任何的有效數據負荷，所以這是一個TCP要求445埠同步的空包，也就是病毒主機在掃描445埠。一旦染毒主機同步上沒有採取防護措施的主機445埠，便會利用系統漏洞傳播感染。

Spynet3.12 下載地址：http://www.315safe.com/showarticle.asp?NewsID=2654