抓取网络报文.docVIP

抓取网络报文 可通过Wireshark（旧版本为Ethereal）软件从网络上抓取数据进行分析。 操作指导 抓包之前需要搭建好网络环境： 一般情况下，抓包的PC机需要与被监控的目标地址在一个Hub（集线器）上。 将局域网交换机的上行线连接到Hub上，然后IAD的WAN接口与Hub相连，将PC与Hub相连，保证上述三条线路的连通，如图1所示。 图1 组网示例1  如果PC机和IAD在一个交换机上，可以在交换机上设置端口镜像来抓包（具体命令请参考相关交换机的用户手册）。 组网方式如图2所示。 图2 组网示例3  比如IAD的WAN口接到交换机的1号口，PC机接到该交换机的2号口，则在交换机上将1号口设为被监控的网口，2号口设为目的镜像口。（即将1号口的数据包复制到2口号观察）。 说明： 如果PC机装有VPN（Virtual Private Network）软件，请在抓包前删除VPN，否则只能抓取到PC机发出去的包，导致抓包不准确。 打开Wireshark软件（以1.0.6版本为例），在出现的界面上单击工具栏最左侧的，出现如图3所示对话框。 图3 选择抓包的网卡  如果有多个网卡（本示例为双网卡）则选择IP网段与IAD相同的网卡，单击相应的“Start”开始抓包。 在抓包过程中，可选择以下方法开启过滤条件： 在工具栏下的“Filter”文本框中输入过滤条件，然后单