服务器抓包工具

1、linux服务器抓包工具哪个好

linux下有命令可直接执行抓包的，命令如下：
1、tcpmp -vv -i ethN -s 10240 -w /root/abc.cap host ip
2、上述命令中，ethN,是你要抓的本机网版卡，一般是eth0,可使用权ifconfig查看使用的哪个网卡
-s 指定的是抓包数量 -w指定的是抓到的包写到哪个位置 host ip即为抓取哪个ip 的包

2、怎样在局域网内抓包，比如Sniffit?

你是网络管理员吗？你是不是有过这样的经历：在某一天的早上你突然发现网络性能急剧下降，网络服务不能正常提供，服务器访问速度极慢甚至不能访问，网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。

这是什么问题？设备坏了吗？不可能几台设备同时出问题。一定是有什么大流量的数据文件，耗尽了网络设备的资源，它们是什么？怎么看到它们？这时有经验的网管人员会想到用局域网抓包工具来分析一下。

你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭著的网络杀手。就是它们制造了上述种种恶行。它们来势汹汹，阻塞网络、感染主机，让网络管理员苦不堪言。当网络病毒出现时，如何才能及时发现染毒主机？下面我根据网络病毒都有扫描网络地址的特点，给大家介绍一个很实用的方法：用抓包工具寻找病毒源。

1．安装抓包工具。目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具，非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型，比如是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。

2．配置网络路由。你的路由器有缺省网关吗？如果有，指向了哪里？在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的（除非你想搞瘫这台路由器）。在一些企业网里往往仅指出网内地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主机上吧（它不下地狱谁下地狱？当然这台主机的性能最好是高一点的，否则很容易被病毒冲击而亡）。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上，所有对外访问的网络包都会被分析到。

3．开始抓包。抓包主机已经设置好了，网络里的数据包也已经送过来了，那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来，这些就是被捕获的数据包（如图）。

图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。

4.找出染毒主机。从抓包的情况看，主机10.32.20.71值得怀疑。首先我们看一下目的IP地址，这些地址我们网络里存在吗？很可能网络里根本就没有这些网段。其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。

既然抓到了病毒包，我们看一下这个数据包二进制的解码内容：

这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息，紧跟着的2字节指出了数据包的类型，0800代表的是IP包格式，0806代表ARP包格式。接着的20个字节是封装的IP包头，包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头，包括了源、目的端口，TCP链接的状态信息等。这就构成了一个62字节的包。可以看出除了这些包头数据之外，这个包没有携带其他任何的有效数据负荷，所以这是一个TCP要求445端口同步的空包，也就是病毒主机在扫描445端口。一旦染毒主机同步上没有采取防护措施的主机445端口，便会利用系统漏洞传播感染。

3、如何在远程服务器上抓包

你的意思是说在windows上运行sniffer程序抓linux服务器上的包？ 这个功能不是wireshark这类sniffer能做到的，首先要保证你linux服务器上的包能同时发到windows的机器上，可以通过在交换机上设置来实现。如果对实时性要求不是那么高的话，也可以在linux上用tcpmp将流量保存到本地文件，再拿到windows上分析。

4、除了wireshark,还有哪些抓包工具呢

中文的有科来网络分析系统。英文的有Sniffer、IP Tool等。
最有名的还是Sniffer和WireShark。WireShark的前身是Ethereal，也很有名。

5、抓包工具是在服务器上用还是终端上用

都行

6、如何学习服务器抓包？

在服务器上面安装抓包软件，然后就可以读取服务器网卡上面数据，但要分析不同字段。我用的是小鸟云服务器，感觉挺好的。

7、web抓包工具有哪些

HTTP Analyzer
界面非常直观,无需选择要抓包的浏览器或者软件，直接全局抓取，很内傻瓜化，但是功能决定不容简单。其他抓包工具有的功能它有，其他没有的功能它也有。点击start即可进行抓包,红色按钮停止抓包，停止按钮右边的就是暂停抓包按钮。
HttpWatch
界面和HTTP Analyzer有点像，但是功能少了几个。而且只能附加到浏览器进行抓包。附加的办法：打开浏览器-》查看-》浏览器栏-》HttpWatch，然后点record即可抓包。
特点：抓包功能强大，但是只能依附在IE上。Post提交的数据只有参数和参数的值，没有显示提交的url编码数据。
HTTPDebugger
同样是全局抓包，抓包和停止抓包同个按钮。软件界面感觉没有那么友好，POST的数据只能在requestcontent内查看，只显示提交的url编码数据

8、linux抓包工具有哪些

有一个抓包软件叫tcpmp的 其它如wireshark需要找到linux版本进行安装。

9、有哪些抓包工具？

第五名：TCPDump（网络类）

根据白帽子黑客抓包工具的使用率，将TCPmp排在第五的位置。

TCPmp

TCPmp功能很强大，能够搞到所有层的数据。Linux作为路由器和网关这种网络服务器时，就少不了数据的采集、分析工作。而TCPmp恰好是一种功能强大的网络数据采集分析工具。

简单来说就是，可以根据用户的定义来截获网络上数据包的包分析工具。

TCPmp的功能和截取策略，捕获了高级系统管理员的芳心，成为其分析和排除问题的一种必备工具。

第四名：Wireshark（网络类）

Wireshark（前称Ethereal）是一个网络封包分析软件，是最流行的一种图形化的抓包工具，而且在Windows、Mac、Linux等三种系统中都有合适的版本。

Wireshark

Wireshark可以被用来检测网络问题、资讯安全问题、学习网络协定相关的知识，或者为新的通讯协定除错。它是白帽子黑客、网络管理员、安全工作人员的必备工具之一。

第三名：HttpWatch（Web报文）

HttpWatch在IE浏览器的工具栏中，是功能比较强大的一种网页数据分析工具，而且能够收集显示较为深层的信息。

它不依赖于代理服务器、网络监控工具，就可以将网页和网页请求信息、日志信息同时显示。另外，它还可以显示一些交换信息。

fiddler

第二名：Fiddler(web报文)

Fiddler是白帽子黑客最经常使用的，是可以进行http协议调试的一种web报文渗透工具。

它可以记录电脑联网的所有通讯，可以查看所有“出入”Fiddler的cookie, html, js, css等数据。并且优点是使用起来非常简单。

第一名：BurpSuite (web 报文)

BurpSuite是现在Web安全渗透的必备工具。

它是一个集成平台，平台中汇集了可以用来攻击web应用的工具，这些工具有很多接口，共享一个扩展性比较强的框架。

10、什么是抓包工具?

你是网络管理员吗？你是不是有过这样的经历：在某一天的早上你突然发现网络性能急剧下降，网络服务不能正常提供，服务器访问速度极慢甚至不能访问，网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。

这是什么问题？设备坏了吗？不可能几台设备同时出问题。一定是有什么大流量的数据文件，耗尽了网络设备的资源，它们是什么？怎么看到它们？这时有经验的网管人员会想到用局域网抓包工具来分析一下。

你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭著的网络杀手。就是它们制造了上述种种恶行。它们来势汹汹，阻塞网络、感染主机，让网络管理员苦不堪言。当网络病毒出现时，如何才能及时发现染毒主机？下面我根据网络病毒都有扫描网络地址的特点，给大家介绍一个很实用的方法：用抓包工具寻找病毒源。

1．安装抓包工具。目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具，非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型，比如是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。

2．配置网络路由。你的路由器有缺省网关吗？如果有，指向了哪里？在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的（除非你想搞瘫这台路由器）。在一些企业网里往往仅指出网内地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主机上吧（它不下地狱谁下地狱？当然这台主机的性能最好是高一点的，否则很容易被病毒冲击而亡）。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上，所有对外访问的网络包都会被分析到。

3．开始抓包。抓包主机已经设置好了，网络里的数据包也已经送过来了，那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来，这些就是被捕获的数据包（如图）。

图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。

4.找出染毒主机。从抓包的情况看，主机10.32.20.71值得怀疑。首先我们看一下目的IP地址，这些地址我们网络里存在吗？很可能网络里根本就没有这些网段。其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。

既然抓到了病毒包，我们看一下这个数据包二进制的解码内容：

这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息，紧跟着的2字节指出了数据包的类型，0800代表的是IP包格式，0806代表ARP包格式。接着的20个字节是封装的IP包头，包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头，包括了源、目的端口，TCP链接的状态信息等。这就构成了一个62字节的包。可以看出除了这些包头数据之外，这个包没有携带其他任何的有效数据负荷，所以这是一个TCP要求445端口同步的空包，也就是病毒主机在扫描445端口。一旦染毒主机同步上没有采取防护措施的主机445端口，便会利用系统漏洞传播感染。

Spynet3.12 下载地址：http://www.315safe.com/showarticle.asp?NewsID=2654