windows进程抓包工具QPA初体验

今天是医保最后一天，然而我在实验室，并没有连上内网。于是我想用4G网去看一下。结果死活登不上去。于是我想看看这『教务在线』的地址到底是内网IP还是外网IP，然而我回到宿舍之后发现，明明是公网IP，但为什么外网无法访问？不管是域名还是直接IP都无法访问。



然后我想应该是只能内网访问，于是用我的windows(连着内网的172，同时通过pppoe连上了外网的)访问jwzx.cqupt.edu.cn，然后查看TCP连接发现我的windows是用内网地址跟它连的。而且到现在教务在线也没有暴露出它的内网IP(怎么会没有内网IP呢)

然后在群里问了一下，并没有人真正研究这个问题，然后有同学提到用抓包工具抓一下，我想起之前有微博网友推荐的QPA。我用百度搜了一下，发现它并没有官网，只是一个sinaapp，是用Python写的(哇真好，又可以学一下别人优秀的Python代码了)然后代码开源了，放在了开源中国，叫openQPA。然后我试用了一下，发现真的不错啊哈哈！

它是根据进程来抓包分别放到不同的.pcap文件中的。
- all.pcap是整个抓包过程抓到的包
- 下面那个nmap.exe_11628.pcap应该是进程ID为11628, 进程为nmap.exe的抓到的包，我之前抓到的是chrome.exe_5768.pcap，是我用chrome某个标签页(进程ID为5768)访问教务在线抓到的包。哇，真的是纯TCP的包啊！对于我这种对wireshark过滤表达式不熟的人真的是福音！早就想对浏览器某个标签页抓包了，QPA帮我解决了这个问题。浏览器自带的抓包只是HTTP层的，而且不能追踪TCP流。
- non-ip.pcap是除了抓到的除了IP协议以外的包
- non-local.pcap和other.pcap并没有抓到包(用wireshark打开是空的)
- non-tcpudp.pcap打开发现是我之前用命令行去ping202.202.32.202的ICMP包。

然后在non-ip.pcap或者all.pcap中都抓到了OICQ协议的包。

开始就是一些获取好友列表的包。

然后后来是数据，但是应该是加密的，我看不到。
其实这台windows是我WIFI局域网的公网出口。我抓的网卡是有线网卡(连着公网)这里的QQ包里面的源IP已经做了NAT了，从链路层来看，是要发往我的网关(那个HuaweiTe)那里172.18.x.1。

并不是WIFI网卡，不然此时我的windows上并没有用QQ。这里的QQ包应该是来自于我当时正在用的Mac上的QQ(我正在群里跟同学交流)。抓到的包里面有QQ刚上线时获取好友列表的过程。