抓包工具哪个好用文章列表:

• 1、airodump——功能齐全的抓包工具推荐
• 2、一篇文章告诉你，全网爆款抓包工具的优劣势
• 3、测试工程师得力助手：Fiddler和Wireshark进行抓包对比实战
• 4、Scapy：用Python编写自己的网络抓包工具
• 5、linux抓包工具tcpdump的简单使用

airodump——功能齐全的抓包工具推荐

软件特色

1、确定wireshark的位置

如果没有一个正确的位置，启动Wireshark后会花费很长的时间捕获一些和自己无关的数据。

2、选择捕获接口

一般都是选择连接到Internet网络的接口，这样才可以捕获到和网络相关的数据。

3、分析WLAN适配器

对于使用适应于的WLAN适配器无线网络分析，诊断能力需要特殊的驱动程序安装捕捉到无线管理，控制和数据包。

4、使用捕获过滤器

使用设置捕获过滤器，可以免除产生过大的捕获文件。

5、使用显示过滤器

平常使用捕获过滤器过滤后的数据，通常还是很复杂。

使用方法

1、运行airodump，该工具用来捕获数据包，按提示依次选择：

“16”，破解所用无线网卡的序号。

“a”，选择芯片类型，这里选择atheros芯片。

“6”，信道号，一般1、6、11是常用的信道号，选择“0”可以收集全部信道信息。

“testWep”(该输入文件名可任意)。

“y”，破解WEP时候选择“y”，破解WPA时选择“n”。

2、当该AP的通信数据流量极度频繁(比如可以采用STA1与STA2对拷文件来产生数据流量)，“Packets”所对应的数值增长速度就会越大。当大概抓到30万(如采用104位RC4加密需要抓到100万包)“Packets”时关闭airodump窗口，启动Winaircrack。

3、首先执行WinAirCrack.exe文件，输入要破解的无线AP的SSID号和mac地址。

4、单机文件夹图标的选项，在弹出窗口选择last.cap文件。

5、点击左侧栏方的“Wep”按钮切换主界面至WEP破解选项界面。选择“Key size”为64(当前几乎所有用户都是使用这个长度的WEP KEY，因此这一教程完全是靠猜测选择该值)。

6、选择aircrack.exe应用程序所在的路径。

7、根据自己程序存放的位置选择aircrack.exe路径。

8、一切设置好之后，单击主界面右下方的“Aircrack the key…”按钮，这个时候将弹出一个内嵌在cmd.exe下运行的进程对话框，并在提示得出WEP KEY，即可开始破解。

来源：http://www.3h3.com/soft/261808.html

一篇文章告诉你，全网爆款抓包工具的优劣势

前言

作为软件测试工程师，抓包总是不可避免：遇到问题要做分析需要抓包；发现 bug 需要定位要抓包；检查数据传输的安全性需要抓包；接口测试遇到需求不全的也需要抓包... 就因为抓包在测试工作中无处不在，所以市面上才会出现一大批的抓包工具供大家选择。

有很多小伙伴都在讨论的一个问题就是“这个工具和 xxx 工具有什么区别呢？” 或者 "这个工具和 xxx 工具谁更好用呢？"

所以，为了解决大家的这个疑惑，让大家能够合理地选择更适合的工具，更好的辅助测试工作的执行，我们今天就来分析一下各种爆款的抓包工具的优劣势。

Fiddler

Fiddler 工具非常经典且强大，这点大家应该都所体会。它可以提供电脑端、移动端的抓包、包括 http 协议和 HTTPs 协议都可以捕获到报文并进行分析；可以设置断点调试、截取报文进行请求替换和数据篡改，也可以进行请求构造，还可以设置网络丢包和延迟进行 APP 弱网测试等。

所以，fiddler 的第一个优点，就是功能强大并齐全；

第二个优点就是 Fiddler 是开源免费的，所有的电脑只要安装就可以直接使用所有的功能！这无疑也是一个非常大的优势，为它也拉拢了大量的用户！

当然，它也有自己的缺点：只能在 windows 下安装使用。如果要在其他系统上抓包，比如 MacOS 系统，Linux 系统，那么 Fiddler 就无用武之地了。

Charles

Charles 工具别名“花瓶”，它是通过代理来实现的抓包，也就是我们在访问网页时配置代理指向 Charles 监听的端口，之后所有的请求 Charles 会帮我们转发并记录。

Charles 的使用非常简单，配置好代理后，Charles 就开始抓包了。我们可以直接通过它的 GUI 查看包的内容，其实功能和使用跟 Fiddler 非常的雷同，同样可以提供电脑及手机端的抓包分析、设置断点、弱网环境模拟等，那么它跟 fiddler 的区别在哪里呢？

优点：

Charles 基于 Java 开发的，跨平台性好。所以不仅支持 Windows 系统，还支持 MacOS，以及 Linux 操作系统；所以基本非 windows 电脑都会选择 Charles 工具。

要抓取 https 协议的配置也很简单，只要安装下 charles 的证书就可以了

缺点：

Charles 工具是不免费的。它需要购买 license，如果不购买使用的话就会每 30 分钟断一次，使用体验非常不好！

wireshark

Wireshark 也可以在各个平台都可以安装使用，不过它的功能侧重点和 Charles&Fiddler 有所不同，它主要用来抓取网络中的所有协议的数据报文，对于分析网络协议以及网络问题方面非常专业！

Wireshark 工具的优点：

可以选择特定的网卡进行流量的捕获，那么就只会抓取关心的网卡经过的数据，针对性很强；

可以抓取所有协议的报文，并且抓取的报文可以完整的以 OSI 七层网络模型的格式显示，可以清晰的看到客户端和服务器之间每一个交互报文，以及每一个数据包的网络各层级的详细内容显示。所以，这个工具抓包非常适合学习和分析网络协议。

提供了非常强大的过滤规则。Wireshark 可以提供捕获前过滤，也可以捕获后过滤，并且过滤规则非常详细，可以实现精度和细粒度非常高的包过滤；

可以结合 TCPdump 使用，分析线上服务器（Linux 系统）下抓取的数据报文，定位线上问题。

Wireshark 工具的缺点：

如果要灵活的使用它需要具备一定的网络基础，对于初学者有一定的难度；

无法分析 https 数据包，由于 wireshark 是在链路层获取的数据包信息，所以获取到的 https 包是加密后的数据，因此无法分析包内容。当然，我们可以对 https 数据包进行解密， 但是操作具有一定的复杂度，可能要消耗很多时间。

BurpSuite

Burpsuite 工具也是基于 Java 语言开发的，所以它也可以跨各平台使用，包括 Windows，MacOS 及 Linux 等系统平台。

Burpsuite 可以提供抓包功能，它的工作方式同样也是在浏览器和网站之间做了代理从而实现报文截取的；也能够修改数据内容并转发的功能；甚至还可以选择使用爬虫爬下网站相关的数据...

但是，它绝对不仅仅是一款抓包工具，它集成了很多实用的小工具可以完成更加强大的功能，比如 http 请求的转发、修改、扫描等。同时这些小工具之间还可以互相协作，在 BurpSuite 这个框架下进行订制的攻击和扫描方案。

所以这个工具很多功能测试的人员会使用它进行报文抓取和篡改数据，很多安全测试人员会借用它进行半自动的网络安全审计，开发人员也可以使用它的扫描工具进行网站压力测试与攻击测试，功能作用范围更加广泛。

不过它也有自己的缺点，就是不免费！每个用户一年的费用为 299$，使用成本相对来说有点高。

F12

F12 是众多抓包工具中最简单、最轻量级的，因为它是浏览器内置的开发者工具来提供捕获浏览器的数据报文的功能。它免安装，直接打开浏览器就可以直接使用，所有使用非常好上手，适合入门级别的新手学习。

它主要针对的是 HTTP 协议和 HTTPS 协议， 可以确认我们的网络数据包的一个状态， 通过分析请求和响应报文里面的内容， 分析出来请求数据和响应数据是否正确， 定位问题是前端问题还是后端问题。

而且 F12 作为浏览器的一部分，是数据收发的一端，抓取到的 HTTPs 报文是可以得到明文数据的；不过因为只能抓当前浏览器的收发报文，层次只能是在应用层 Http(s)协议，不能抓取其他的数据报文。

虽然 F12 抓包调试也能满足我们基本的测试工作需求，但是作用面和强大性和其他的抓包工具还是有一定差距的。

TCPdump

TCPdump 这是专门作用于 Linux 命令行的抓包工具，它可以提供非常多的参数来对网络数据包进行过滤和定义。

而它抓取到的报文可以直接打印在 Linux 的命令行界面，也可以进行保存成文件，并用 Wireshark 工具打开进行更加细致的分析。

总结

小编说了这么多，总的来说呢，测试可以用的抓包工具非常多，然而它们各有各的优势，也有对应的不足，所以根据自己的使用场景，选择最适合的抓包工具才是最重要的！要是在以后遇到不知道该用哪个抓包工具的时候可以看看小编的文章哟。

当然啦小编这里还给大家准备了一份学习抓包的学习资料，有需要的可以私信“资料”获取哟。

测试工程师得力助手：Fiddler和Wireshark进行抓包对比实战

了解过网络安全技术的人都知道一个名词"抓包"。那对于局外人，一定会问什么是抓包？考虑到，大家的技术水平不一，我尽可能用非专业的口吻简单的说一下。

抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。黑客常常会用抓包软件获取你非加密的上网数据，然后通过分析，结合社会工程学进行攻击。所以，学会抓包，对于学好网络安全技术十分重要。

在我们做接口测试的时候，经常需要验证发送的消息是否正确，或者在出现问题的时候，查看手机客户端发送给server端的包内容是否正确，就需要用到抓包工具。而工程师和程序常用的抓包工具有哪些呢？今天我们就来简单聊一聊最常用的2种。

Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。

Wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容。

总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。

一、Fiddler

当启动fiddler，程序将会把自己作为一个代理，所以的http请求在达到目标服务器之前都会经过fiddler，同样的，所有的http响应都会在返回客户端之前流经fiddler。

Fiddler可以抓取支持http代理的任意程序的数据包，如果要抓取https会话，要先安装证书。

Fiddler的工作原理

Fiddler 是以代理web服务器的形式工作的,它使用代理地址:127.0.0.1, 端口:8888. 当Fiddler会自动设置代理， 退出的时候它会自动注销代理，这样就不会影响别的程序。不过如果Fiddler非正常退出，这时候因为Fiddler没有自动注销，会造成网页无法访问。解决的办法是重新启动下Fiddler.

Fiddler 如何捕获Firefox的会话

能支持HTTP代理的任意程序的数据包都能被Fiddler嗅探到，Fiddler的运行机制其实就是本机上监听8888端口的HTTP代理。Fiddler2启动的时候默认IE的代理设为了127.0.0.1:8888，而其他浏览器是需要手动设置的，所以将Firefox的代理改为127.0.0.1:8888就可以监听数据了。

Firefox 上通过如下步骤设置代理

点击: Tools -> Options, 在Options 对话框上点击Advanced tab - > network tab -> setting.

Firefox 中安装Fiddler插件

修改Firefox 中的代理比较麻烦， 不用fiddler的时候还要去掉代理。推荐你在firefox中使用fiddler hook 插件, 这样你非常方便的使用Fiddler获取firefox中的Request 和response，当你安装fiddler后，就已经装好了Fiddler hook插件，你需要到firefox中去启用这个插件打开firefox tools->Add ons -> Extensions 启动 FiddlerHook

Fiddler如何捕获HTTPS会话

默认下，Fiddler不会捕获HTTPS会话，需要你设置下, 打开Fiddler Tool->Fiddler Options->HTTPS tab

选中checkbox, 弹出如下的对话框，点击"YES"

点击"Yes" 后，就设置好了

Fiddler的基本界面

看看Fiddler的基本界面

Inspectors tab下有很多查看Request或者Response的消息。 其中Raw Tab可以查看完整的消息，Headers tab 只查看消息中的header. 如下图

Fiddler的HTTP统计视图

通过陈列出所有的HTTP通信量，Fiddler可以很容易的向您展示哪些文件生成了您当前请求的页面。使用Statistics页签，用户可以通过选择多个会话来得来这几个会话的总的信息统计，比如多个请求和传输的字节数。

选择第一个请求和最后一个请求，可获得整个页面加载所消耗的总体时间。从条形图表中还可以分别出哪些请求耗时最多，从而对页面的访问进行访问速度优化

QuickExec命令行的使用

Fiddler的左下角有一个命令行工具叫做QuickExec,允许你直接输入命令。

常见得命令有：

help 打开官方的使用页面介绍，所有的命令都会列出来

cls 清屏 (Ctrl x 也可以清屏)

select 选择会话的命令

.png 用来选择png后缀的图片

bpu 截获request

Fiddler中设置断点修改Request

Fiddler最强大的功能莫过于设置断点了，设置好断点后，你可以修改httpRequest 的任何信息包括host, cookie或者表单中的数据。设置断点有两种方法

第一种：打开Fiddler 点击Rules-> Automatic Breakpoint ->Before Requests(这种方法会中断所有的会话)

如何消除命令呢？ 点击Rules-> Automatic Breakpoint ->Disabled

第二种: 在命令行中输入命令: bpu www.baidu.com (这种方法只会中断www.baidu.com)

如何消除命令呢？ 在命令行中输入命令 bpu

二、Wireshark

Wireshark是另外一种抓包工具，这种工具比fiddler更强大，消息量更多。大家可能会问：有了fiddler，为什么还要用wireshark呢？这里说下，在测试中，发现用fiddler抓包，有些包是没有抓到的，比如在验证反作弊信息的时候，反作弊pingback信息的消息用fiddler就没抓到，用wireshark就抓到了。还有另外一种情况，就是在验证cna的时候，如果先用fiddler抓包，如果没有种下cna的时候，以后就永远没有cna了，情况很诡异。解决办法就是把包卸载了重新安装，第一次用wireshark抓包。

Wireshark优势：

1、强大的协议解析能力，一到七层全解码，一览无遗，对于协议细节的研究特别有帮助。

2、对于https加密流量，只要将浏览器的session key 自动导入wireshark，Wireshark可以自动解密https流量。

Wireshark不足之处：

尽管可以自定义过滤列表，但为了抓取一个特定TCP Flow /Session 流量需要写一个长长的过滤列表，这对于初学者很不友好。

操作实例：

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包：

一、WireShark 界面

1、Display Filter(显示过滤器)，用于过滤；

2、Packet List Pane(封包列表)，显示捕获到的封包，有源地址和目标地址,端口号；

3、Packet Details Pane(封包详细信息), 显示封包中的字段；

4、Dissector Pane(16进制数据)；

5、Miscellanous(地址栏，杂项)。

二、Wireshark 显示过滤

使用过滤是非常重要的，初学者使用wireshark时，将会得到大量的冗余信息，在几千甚至几万条记录中，以至于很难找到自己需要的部分。搞得晕头转向。过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

过滤器有两种:

1、一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录

2、一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置。

三、保存过滤

在Filter栏上，填好Filter的表达式后，点击Save按钮， 取个名字。比如"Filter 102",Filter栏上就多了个"Filter 102" 的按钮。

四、过滤表达式的规则

表达式规则

1.协议过滤 比如TCP，只显示TCP协议。

2.ip 过滤

比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102，ip.dst==192.168.1.102,目标地址为192.168.1.102。

3.端口过滤

tcp.port ==80, 端口为80的

tcp.srcport == 80, 只显示TCP协议的愿端口为80的。

4.Http模式过滤

http.request.method=="GET", 只显示HTTP GET方法的。

5.逻辑运算符为 AND/ OR

五、封包列表(Packet List Pane)

封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。 你也可以修改这些显示颜色的规则， View ->Coloring Rules.

六、封包详细信息 (Packet Details Pane)

这个面板是我们最重要的，用来查看协议中的每一个字段。各行信息分别为

·Frame: 物理层的数据帧概况

·Ethernet II: 数据链路层以太网帧头部信息

·Internet Protocol Version 4: 互联网层IP包头部信息

·Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP

·Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议

七、Wireshark与对应的OSI七层模型

八、TCP包的具体内容

从下图可以看到wireshark捕获到的TCP包中的每个字段。

总结：

总的来说，两款抓包软件各有优缺点，选择的关键在于我们的需求是什么，当然，对于软件测试从业者而言，两款软件都是十分有必要学习的~

请关注 私信回复：“测试”就可以免费拿到Python测试开发大纲及软件测试学习资料，快速让自己变强！

Scapy：用Python编写自己的网络抓包工具

随着Python越来越流行，在安全领域的用途也越来越多。比如可以用requests 模块撰写进行Web请求工具；用sockets编写TCP网络通讯程序；解析和生成字节流可以使用struct模块。而要解析和处理网络包在网络安全领域更加普遍，时常

我们会使用tcpdump和Wireshark（tshark）。但是如果要自己写程序进行处理，则需要更灵活的语言包（库），这就是本文要介绍的Scapy。

概述

Scapy 是一个用来解析底层网络数据包的Python模块和交互式程序，该程序对底层包处理进行了抽象打包，使得对网络数据包的处理非常简便。该类库可以在在网络安全领域有非常广泛用例，可用于漏洞利用开发、数据泄露、网络监听、入侵检测和流量的分析捕获的。Scapy与数据可视化和报告生成集成，可以方便展示起结果和数据。

Scapy的基本理念是提出一个基于领域特定语言，从而轻松快速地进行有线格式（Wire Format）管理。

安装运行

Scapy可以通过pip安装:

pip install scapy

也可以通过发行版的包管理器安装，比如yum，但是其版本可能太老已经过时。

也可以通过直接从官方仓库clone源码安装：

git clone github /secdev/scapy

然后，可以可以简单地运行：

cd scapy

./run_scapy

用法示例

解析PCAP抓包

用Scapy做的最简单的事情就是读取PCAP文件。让我们下载Wireshark的SIP-rtp-opus-hybrid.pcap 示例PCAP数据包为例子：

用rdpcap()函数引入PCAP文件，读取其内容的函数：

>>> pkts = rdpcap("sip-rtp-opus-hybrid.pcap")

>>> pkts

<sip-rtp-opus-hybrid.pcap: TCP:0 UDP:7 ICMP:0 Other:0>

为了更详细读取PCAP文件中的数据，可以使用PcapReader从打开的文件句柄中迭代地读取数据包，一次一个包，bing实例化的对象：

>>> fd = open("sip-rtp-opus-hybrid.pcap", "rb")

>>> reader = PcapReader(fd)

>>> reader

<scapy.utils.PcapReader at 0x7f913c7c24e0>

>>> for CC in reader:

...: print(CC)

...:

>>> fd.close()

如上面所示，每个数据包都以有线格式提供。Scapy 将每个数据包以网络层的堆栈。Scapy层对象对应于网络协议及其有线格式。

获取第一个数据包并检查IP层是否可用：

>>> first= CC[0]

>>> first.haslayer(IP)

True

>>> IP in first

True

要解析来自特定层的数据包，可按想要的层对其进行索引，并让Scapy打印所有字段：

要以十六进制打印数据包，可以使用hexdump()功能：

>>> hexdump(first)

为了完全解析和完美地输出一个数据包，需要调用show()方法：

>>> first.show()

可以看到，上面未能有效地解析SI负载。这是因为Scapy主要处理二进制协议 网络堆栈的较低部分，而SIP不是。但是可以引入第三方模块来解析一些应用层协议，比如HTTP协议。

实时抓包解析

比如可以读取带有预先捕获的数据包的PCAP文件，如果要做一些数据包嗅探，如果系统准备好在混杂模式下使用网络接口，可以调用sniff()从网卡获取一些数据包的函数：

>>> for CC in sniff(count=5):

...: CC.show()

...:

Scapy中也可以使用和Wireshark（tshark）、tcpdump 相同BPF语法来过滤嗅探到的数据包和许多其他工具支持：

>>> for CC in sniff(filter="udp", count=5):

...: CC.show()

...:

要将捕获的数据包保存到 PCAP 文件中以供进一步分析，可以使用wrpcap()函数来导出到文件：

>>> capture = sniff(filter="udp", count=5)

>>> capture

<Sniffed: TCP:0 UDP:5 ICMP:0 Other:0>

>>> wrpcap("udp.pcap", capture)

发送ping包

除了可以嗅探（捕获和解析）网络数据包，但Scapy也支持生成数据包进行各种主动欺骗：网络扫描、服务器探测、通过发送攻击系统格式错误的请求等等。

下面尝试ping一个服务器，涉及到要给服务发送一个ICMP数据包：

>>> CC = IP(dst="XXX") / ICMP()

>>> CC.show()

然后调用sr1()函数，可以发送一个ICMP数据包（即ping），等待返回数据包返回：

>>> rr=sr1(CC)

Begin emission:

Finished sending 1 packets.

...*

Received 4 packets, got 1 answers, remaining 0 packets

>>> rr

上面得到了正确的ICMP回复。

为了发送多个数据包和接收响应（例如实现ping扫描），可以用sr()功能。发送多个数据包，但等待单个响应。还可以用sr1_flood()功能。

网络协议层乱序

Scapy通过重载了Python“/”运算符来实现层堆叠，不再不强制按照网络层顺序执行，以达到以预期人为顺序执行（这在某些测试和应用中很有用）。

>>> CC=ICMP() / UDP() / IP() / IP()

>>> CC

<ICMP |<UDP |<IP frag=0 proto=ipencap |<IP |>>>>

>>> CC.show()

###[ ICMP ]###

type= echo-request

code= 0

chksum= None

id= 0x0

seq= 0x0

###[ UDP ]###

sport= domain

dport= domain

len= None

chksum= None

###[ IP ]###

version= 4

ihl= None

tos= 0x0

len= None

id= 1

flags=

frag= 0

ttl= 64

proto= ipv4

chksum= None

src= 127.0.0.1

dst= 127.0.0.1

options

###[ IP ]###

version= 4

ihl= None

tos= 0x0

len= None

id= 1

flags=

frag= 0

ttl= 64

proto= hopopt

chksum= None

src= 127.0.0.1

dst= 127.0.0.1

options

>>> hexdump(CC)

WARNING: No IP underlayer to compute checksum. Leaving null.

0000 08 00 F7 65 00 00 00 00 00 35 00 35 00 30 00 00 ...e.....5.5.0..

0010 45 00 00 28 00 01 00 00 40 04 7C CF 7F 00 00 01 E..(....@.|.....

0020 7F 00 00 01 45 00 00 14 00 01 00 00 40 00 7C E7 ....E.......@.|.

0030 7F 00 00 01 7F 00 00 01

设计成这样，主要是为了可以生成任意的网络数据包（故意损坏的），用来进行漏洞测试研究或利用。当然对于对这一块不熟悉的用户，强烈建议不要轻易尝试，以免造成问题。

数据可视化

Scapy也支持通过PyX（需要预先安装模块）对数据进行可视化。可以输出为一个数据包或数据包列表的图形(PostScript/PDF格式)：

>>> xxCC[404].pdfdump(layer_shift=1)

>>> xxCC[404].psdump("/tmp/xxCC.eps",layer_shift=1)

模糊测试

利用函数fuzz()可以利用快速构建生成随机测试值利用模糊模板并循环发送进行测试。以下示例中，IP层正常，UDP和NTP层被fuzz。UDP 校验和将正确，UDP 目标端口将被 NTP重载为123，并且NTP版本将被强制为4，所有其他端口将被随机化：

send(IP(dst="target")/fuzz(UDP()/NTP(version=4)),loop=1)

................^C

Sent 16 packets.

总结

抛砖引玉，我们在此介绍了一些基本的Scapy用途，当然这只是scapy庞大功能中的冰山一角，更多的用法请参考官方文档。

据虫虫所知目前有些工具已经使用了scapy包：

Trackerjacker: WiFi网络映射器

Wifiphisher: Wifi接入点创建工具

Sshame：SSH 公钥暴力破解器

ISF：工业系统的利用框架。

还有一些更特殊的用途则需要各位hacker来进一步发掘。

linux抓包工具tcpdump的简单使用

最近需要在Linux上抓包，用到了tcpdump工具，记录一下使用的方法

tcpdump，用简单的语言概括就是dump the traffic on a network，

是一个运行在linux平台可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具，

tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进程分析，

其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤，

并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。

下面是简单的指令参数

-a # 将网络地址和广播地址转变成名字

-A # 以ASCII格式打印出所有分组，并将链路层的头最小化

-b # 数据链路层上选择协议，包括ip/arp/rarp/ipx都在这一层

-c # 指定收取数据包的次数，即在收到指定数量的数据包后退出tcpdump

-d # 将匹配信息包的代码以人们能够理解的汇编格式输出

-dd # 将匹配信息包的代码以c语言程序段的格式输出

-ddd # 将匹配信息包的代码以十进制的形式输出

-D # 打印系统中所有可以监控的网络接口

-e # 在输出行打印出数据链路层的头部信息

-f # 将外部的Internet地址以数字的形式打印出来，即不显示主机名

-F # 从指定的文件中读取表达式，忽略其他的表达式

-i # 指定监听网络接口

-l # 使标准输出变为缓冲形式，可以数据导出到文件

-L # 列出网络接口已知的数据链路

-n # 不把网络地址转换为名字

-N # 不输出主机名中的域名部分，例如www.baidu.com只输出www

-nn # 不进行端口名称的转换

-P # 不将网络接口设置为混杂模式

-q # 快速输出，即只输出较少的协议信息

-r # 从指定的文件中读取数据，一般是-w保存的文件

-w # 将捕获到的信息保存到文件中，且不分析和打印在屏幕

-s # 从每个组中读取在开始的snaplen个字节，而不是默认的68个字节

-S # 将tcp的序列号以绝对值形式输出，而不是相对值

-T # 将监听到的包直接解析为指定的类型的报文，常见的类型有rpc（远程过程调用）和snmp（简单网络管理协议）

-t # 在输出的每一行不打印时间戳

-tt # 在每一行中输出非格式化的时间戳

-ttt # 输出本行和前面以后之间的时间差

-tttt # 在每一行中输出data处理的默认格式的时间戳

-u # 输出未解码的NFS句柄

-v # 输出稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息

-vv # 输出相信的保报文信息

# 监听某个网卡的某个端口的数据包

# -s 0 不限制长度

# -i 指定监听的网络接口

# port 过滤端口

sudo tcpdump -s 0 -i ens33 port 7660

# 和上面一样，多了一个协议，监听某个协议，某个网卡，某个端口的数据

sudo tcpdump -s 0 -i ens33 udp port 7660

# 可以将抓取的数据包保存为文件让wireshark分析

# -c 指的是抓取1000个包

# -w 指的是将数据包写成文件

# my.pcap或者my.cap可以用wireshark分析打开来分析

sudo tcpdump -s 0 -i ens33 -c 1000 -w my.pcap udp

用wireshark打开抓取的文件，可以看到抓取的数据包

打开wireshark查看抓取的文件