Wireshark抓包问题

Posted 2023-04-24

Wireshark抓包问题，我在用Wireshark学习抓包分析，我想抓到我发送给我QQ好友的消息内容的那些包，得到他的IP地址。还有我要怎么区分那么多数据包那个是QQ的、又或者每个数据包是谁的干什么的那个程序的呢？
老兄 你这回答我怎么好像看到过。粘贴复制的吧。- -！
我用的QQ2010，比如我发给好友一个消息，这时候Wireshark应该可以抓到那个消息的数据包吧，不管他是TCP 还是UDP，怎么才能知道我抓到的就是我发给好友的那个，数据包太多了，选择过滤么？这样的话要是我正在在线看视频呢也是或者其他应用程序也用到了TCP，如何分辨？还有一个问题就是能将抓到的那些数据包数据部分的乱码翻译出来的工具有没有呢？

抓到包后，在Filter那里填入oicq，然后回车，剩下的就都是QQ的包了。注意oicq一定要是小写。
在Packet Details里面可以看到“OICQ - IM software, popular in China”。都是UDP的包，里面的数据都是加密了的，应该是破解不了的。
IP地址可以直接从Packet List看到。119.147.12.170这个IP应该是腾讯的服务器，所有的通信都是通过腾讯服务器来中转的。另外一个IP就是你自己的IP。所以也不能看到好友的IP地址。
欢迎其他高手指正。 参考技术A QQ在视频的时候使用的是UDP协议（不可靠的传输协议）。相对来说传输速度比TCP快。

QQ会话应该是可靠协议，不知道您的QQ版本为什么，2009以后QQ将个人资料都上传到服务器上，如果你在刚刚登陆的时候应该是下载个人信息和他人信息等资料。应该会用到UDP，这样传输速度会较快

wireshark抓包命令总结

参考技术A 参考的循环抓包命令，其中的过滤条件需要根据实际情况修改（该命令最多占用4G的存储空间，且会在后台持续运行）：sudo nohup tcpdump -i [network_interface] port 80 -s 80 -C 80 -W 100 -w /tmp/waf.pcap &

-W filecount .  -C file_size . -s 80  snaplen 截取特定的长度

常用排错过滤条件:

对于排查网络延时/应用问题有一些过滤条件是非常有用的：

tcp.analysis.lost_segment：表明已经在抓包中看到不连续的序列号。报文丢失会造成重复的ACK，这会导致重传。

tcp.analysis.duplicate_ack：显示被确认过不止一次的报文。大凉的重复ACK是TCP端点之间高延时的迹象。

tcp.analysis.retransmission：显示抓包中的所有重传。如果重传次数不多的话还是正常的，过多重传可能有问题。这通常意味着应用性能缓慢和/或用户报文丢失。

tcp.analysis.window_update：将传输过程中的TCP window大小图形化。如果看到窗口大小下降为零，这意味着发送方已经退出了，并等待接收方确认所有已传送数据。这可能表明接收端已经不堪重负了。

tcp.analysis.bytes_in_flight：某一时间点网络上未确认字节数。未确认字节数不能超过你的TCP窗口大小（定义于最初3此TCP握手），为了最大化吞吐量你想要获得尽可能接近TCP窗口大小。如果看到连续低于TCP窗口大小，可能意味着报文丢失或路径上其他影响吞吐量的问题。

tcp.analysis.ack_rtt：衡量抓取的TCP报文与相应的ACK。如果这一时间间隔比较长那可能表示某种类型的网络延时（报文丢失，拥塞，等等）。