如何抓取网络包？（wireshark工具、windump命令、tcpdump命令的使用）

文档说明

本文主要介绍使用wireshark工具抓取从客户端到应用服务器的网络包以及用windump命令、tcpdump命令抓取从应用服务器到客户端的网络包。

适用于eas客户端操作业务功能时出现“断开连接”的报错的情况。

一、用wireshark工具抓取客户端到应用服务器的网络包

客户端所在的操作系统一般都是windows,直接在客户端所在的电脑上安装wireshark工具，安装包见附件,安装方法跟windows上普通软件的安装方法一致，这里不再赘述。

第1步：列出可供捕获的网卡

第2步：选择要捕获的网卡

（如果有多张网卡的话根据IP来判定选择哪一张网卡，不要选错了）

这里主要指的是从客户端访问应用服务器的时候使用的是哪一块网卡，使用的哪一块就选择哪一块的

第3步：点击start开始捕获

第4步：选择过滤条件

输入过滤条件：ip.addr==119.57.163.171 and tcp.port==6888 or tcp.port==11034 然后点击“Apply”

（119.57.163.171指的是应用服务器的ip,6888和11034指的是http端口和rpc端口号，可以从客户端的服务器连接设置上查到。）

第5步：操作报错的业务功能

第6步：点击stop完成收集

第7步：保存收集的文件

第8步：结果反馈

上图11.pcap文件就是抓包的结果，可以将其发给现场网络工程师进行分析。

二、抓取应用服务器到客户端的网络包

主要分为如下两种情况

（一）应用服务器为windows

有如下两者方法进行抓包

方法一：

需要下载WinDump.zip工具（见附件）（解压即可使用）。

在cmd模式下进入windump.exe文件所在目录，然后执行如下命令，再在客户端上操作报错的功能，最后把1.pcap反馈给总部。

windump.exe -i 网卡序号 -w  1.pcap -s 0 host 客户端IP and tcp port 端口号

（例如：windump.exe-i 2 -w  1.pcap -s 0 host 219.148.170.154 and tcp port 11099）

例如：windump.exe放在D盘的办公电脑工具文件夹下。

网卡序号，客户端IP ，端口号的确认方法如下

1. 网卡序号的确定方法：

windump.exe -D可以列出所有网卡信息

具体选那个需要通过网络的属性去匹配（执行应用服务器IP对应的那块网卡的网卡序号）

2.客户端ip的确定方法

如果是内网环境（客户端和应用服务器在同一个局域网），直接用客户端的IP地址即可，如果是外网环境，则需要查到客户端的外网 IP

查询客户端外网络IP 方法如下：

在客户端所在的电脑上cmd命令下执行：telnet  应用服务器外网IP 端口号

（例如：telnet 119.57.163.171