本篇將圖文并茂教你如何使用抓包工具，并在文章最后教大家如何得到FTP的用戶名密碼。

一、安裝

本文為大家介紹一個(gè)非常好用的抓包工具，科來(lái)。

下載地址：

http://www.colasoft.com.cn/

下載完畢，雙擊直接下一步即可安裝。

二、界面介紹

雙擊桌面圖標(biāo)：

啟動(dòng)界面如下：

選擇實(shí)時(shí)分析，進(jìn)入選擇網(wǎng)卡界面：

電腦是通過(guò)無(wú)線網(wǎng)卡連接路由器，所以選擇無(wú)線網(wǎng)絡(luò)連接2?！救绻怯芯€網(wǎng)卡，選擇本地連接】

點(diǎn)擊開(kāi)始，即可實(shí)現(xiàn)抓包：

科來(lái)功能十分強(qiáng)大，我們僅介紹常用的一些功能：

1. 選擇網(wǎng)卡
2. 開(kāi)始抓包
3. 停止抓包
4. 設(shè)置過(guò)濾器
5. 顯示IP會(huì)話信息
6. 顯示TCP會(huì)話信息
7. 顯示UDP會(huì)話信息

每一個(gè)按鈕詳細(xì)解釋啊如下：

1. 設(shè)置網(wǎng)絡(luò)接口界面

4. 設(shè)置過(guò)濾器參考第三章

5. 顯示IP會(huì)話信息科來(lái)最大的優(yōu)點(diǎn)就是把所有的數(shù)據(jù)根據(jù)源和目的進(jìn)行了歸類，這樣方便我們根據(jù)查找和某個(gè)服務(wù)器的的進(jìn)程交互的所有的數(shù)據(jù)包。

6. 顯示TCP會(huì)話信息

點(diǎn)擊TCP會(huì)話

點(diǎn)擊上方的數(shù)據(jù)包分類的窗口，科來(lái)幫助我們把tcp數(shù)據(jù)包交互的所有的時(shí)序也幫助我們排好了！

彩！

可以清晰的看到TCP通信從3次握手、到數(shù)據(jù)發(fā)送、ack回復(fù)，4次握手。

查看數(shù)據(jù)包內(nèi)容：

如上圖所示，我們選中三次握手的syn包，右側(cè)上方為科來(lái)幫我們解析過(guò)的數(shù)據(jù)包頭信息，右側(cè)下方為實(shí)際數(shù)據(jù)包的16進(jìn)制信息。

7. 顯示UDP會(huì)話信息

點(diǎn)擊編號(hào)是19的數(shù)據(jù)包：

三、如何過(guò)濾數(shù)據(jù)包

過(guò)濾器設(shè)置窗口如下：

我們可以根據(jù)需要選擇我們要抓取的數(shù)據(jù)包，比如我們只想抓取ICMP(ping包)的數(shù)據(jù)包，只需要選中即可：

這樣我們?cè)俅吸c(diǎn)擊開(kāi)始，就只會(huì)抓取ICMP的數(shù)據(jù)包了。

1. 過(guò)濾端口

點(diǎn)擊右側(cè)的添加按鈕，進(jìn)入過(guò)濾條件設(shè)置頁(yè)面：

然后選中該協(xié)議：

在瀏覽器中輸入以下地址：

http://sohu.com:8888/
該網(wǎng)址是訪問(wèn)sohu.com對(duì)應(yīng)的服務(wù)器的8888端口，rfc1738有關(guān)于域名信息的詳細(xì)解釋。
點(diǎn)擊開(kāi)始，即可抓取到該端口的所有數(shù)據(jù)包，而非8888端口的數(shù)據(jù)包就會(huì)過(guò)濾掉。

2. 過(guò)濾ip地址

我們首先獲取baidu服務(wù)器的ip地址：

可得到 百度服務(wù)器地址 39.156.69.79

如果我們只想抓取和百度服務(wù)器通信的所有數(shù)據(jù)包，設(shè)置如下：

其中：|| 是邏輯或的意思，該表達(dá)式表示所有目的ip或者源ip是39.156.69.79的數(shù)據(jù)包。

選中該過(guò)濾條件：

點(diǎn)開(kāi)開(kāi)始，開(kāi)啟抓包：

然后，ping 39.156.69.79

即可抓取到對(duì)應(yīng)的ping包

注意，要在IP會(huì)話中查看。

點(diǎn)擊數(shù)據(jù)包：

3. 其他

過(guò)濾器的表達(dá)式還有很多種，比如：

• 不抓取端口號(hào)為8888數(shù)據(jù)包,表達(dá)式為:

port?!=?8888


• 不抓取ip地址為39.156.69.79 的數(shù)據(jù)包,表達(dá)式為:

dstip?!=?39.156.69.79?