常用抓包工具分析

常用的抓包工具有：
tcpdump (linux)
wireshark (windows)
tcpflow (linux)
httpwatch (windows)
浏览器自带抓包工具 (windows)

tcpdump (linux)

tcpdump是linux下的抓包工具，一般使用比较习惯于，在linux下用tcpdump抓包，结果存入文件，把文件导入windows下用windows下的wireshark分析。

常用参数

-i：指定监听网卡
-w /1.pcap：结果保存成pcap文件，方便用wireshark查看
host：指定抓取的IP
-s：指定抓取数据包长度，默认长度68字节

举例

224 packets captured 实际被tcpdump捕获并处理的数据包；
224 packets received by filter 实际被过滤器接收的数据包（抓包是可以指定过滤条件的）；
0 packets dropped by kernel 被核心（libcap）丢弃的数据包，通常是由于上层没有及时取走数据导致缓冲区满，旧的数据包被覆盖丢弃。

备注

1、 如果要分析数据的话，-s一般要指定大一点，因为一个数据包除了实际数据外，还有各个协议层加的包头长度（如下图），TCP的所有包头就已经有54个字节，如果-s参数指定的数字小于54，那么实际传输的数据都抓不到的。如果-s指定的比较少，一般只是为了分析传输过程（比如：TCP是怎么握手，怎么断开的 等等），而不分析传输的实际数据。

2、 抓包的过滤条件尽量写得精确，缩小抓包范围，比如：指定要抓发往某个IP的数据包。

更为详细的使用介绍可以参考下面的链接：
http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html

wireshark (windows)

使用三步骤
step1：指定要监听（抓包）的网卡；
step2：抓包后，指定显示过滤条件；
step3：分析。

一般启动wireshark后，就可以直接指定要抓取的网卡，如下：

有流量的网卡就会有曲线，如上图中红框所示。

指定网卡后，wireshark就开始抓包了，如下：

现在就可以指定显示过滤条件，如下（比如：指定显示过滤条件为http）：

后面就可以对结果进行分析。

wireshark颜色区分？todo

更为详细的过滤条件语法，可以参考链接：
https://blog.csdn.net/chenj_freedom/article/details/17113875

tcpflow (linux)

安装方法

参考链接：
https://github.com/simsong/tcpflow
安装过程有各种依赖包需要安装，或者一些文件重定义的错误，如果解决不了，可以尝试删除目录，重新tar解压，再configure / make / make install。

httpwatch (windows)

浏览器自带抓包工具 (windows) ？？todo