ftp抓包

‘壹’ 找个windows下的tcp抓包工具（功能：例如linux下的tcpmp）主要就是侦听ftp协议，明白了吧嘿嘿

使用Wireshark/Tshark，FTP、UDP都可以抓，很好用

‘贰’ 用wireshark抓包sftp和ftp的区别

-A 以ASCII码方式显示每一个数据包(不会显示数据包中链路层头部信息). 在抓取包含网页数据的数据包时, 可方便查看数据(nt: 即Handy for capturing web pages).
-X 当分析和打印时, tcpmp 会打印每个包的头部数据, 同时会以16进制和ASCII码形式打印出每个包的数据(但不包括连接层的头部).这对于分析一些新协议的数据包很方便.
-i eth1：指定监听的网络接口，可以使用ifconfig获取网络配置
host 数据包的源或目的地址是指定IP或者主机名
-w 数据包保存到指定文件

‘叁’ 用arpsniffer抓包得到的txt文件为什么是乱码还有TCP80端口为什么嗅探不到用户名及密码，而FTP密码是可以

arpsniffer嗅探得到的东西本来就是乱码，其实源文件里面都是16进制字符，如果你想看懂arp数据包，你就先看看arp数据报的结构，用wiresharp嗅探吧，我觉得比arpsniffer好用。80端口是浏览器端口，一般没有用户名密码，你用浏览器浏览的时候也不用输入用户名和密码才能上网啊，而ftp是20和21，是文件传输系统，在不允许匿名登录的情况下是要输入用户名和密码的，所以能得到它的密码

‘肆’ wiresharp抓包FTP问题

具体不了解ftp协议，但是凡通信肯定是要建立在tcp或ip协议上的，如果没有这些协议来完成网络路由，那么其他协议怎么能完成自己的业务？

‘伍’ 如何用wireshark抓取ftp的包，就是抓包的时候并没有ftp类的包出现，如何让ftp的包发给我

建立FTP服务器后通过命令提示符连接网址后进行抓包。

‘陆’ ftpget一会正常一会连接不上

可以装一个wireshark抓个包看看，我也碰到过这个问题，后来抓包发现连接不上的时候提示“out of order”，然后在cmd里tracert我的ftp IP，发现IP地址经过了NAT转换成另一个网段的IP，数据包经历这个NAT转换后，会导致包的顺序错乱，导致ftp get有时候可以有时候不行。

‘柒’ 用wireshark抓包怎样抓到ftp（已经建立了服务站点，但就是抓不到ftp）

话说你说的真心不够清楚，不太清楚你想干嘛？如果是你想抓自己电脑到ftp服务器的通信数据，那你就在自己电脑上装个wireshark，选择自己当前正在使用的网卡，在自己跟ftp服务器通信的时候，开始抓包就行了。如果要抓ftp服务器跟所有客户端的通信数据，那就在ftp服务器上装wireshark，选网卡，抓包就行了。
如果是都抓不到数据包，那可能是如下原因：
1、选取的网卡不是当前活动网卡，或者说不是ftp数据流走的那个网卡。
2、当前与ftp服务器没有通信。

‘捌’ 用wireshark抓包分析FTP协议

你是网络管理员吗？你是不是有过这样的经历：在某一天的早上你突然发现网络性能急剧下降，网络服务不能正常提供，服务器访问速度极慢甚至不能访问，网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。

这是什么问题？设备坏了吗？不可能几台设备同时出问题。一定是有什么大流量的数据文件，耗尽了网络设备的资源，它们是什么？怎么看到它们？这时有经验的网管人员会想到用局域网抓包工具来分析一下。

你一定听说过红色代码、Nimda、冲击波以及震荡波这些臭名昭着的网络杀手。就是它们制造了上述种种恶行。它们来势汹汹，阻塞网络、感染主机，让网络管理员苦不堪言。当网络病毒出现时，如何才能及时发现染毒主机？下面我根据网络病毒都有扫描网络地址的特点，给大家介绍一个很实用的方法：用抓包工具寻找病毒源。

1．安装抓包工具。目的就是用它分析网络数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具，非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设置抓包的类型，比如是要捕获IP包还是ARP包，还可以根据目的地址的不同，设置更详细的过滤参数。

2．配置网络路由。你的路由器有缺省网关吗？如果有，指向了哪里？在病毒爆发的时候把缺省网关指向另外一台路由器是很危险的（除非你想搞瘫这台路由器）。在一些企业网里往往仅指出网内地址段的路由，而不加缺省路由，那么就把缺省路由指到抓包主机上吧（它不下地狱谁下地狱？当然这台主机的性能最好是高一点的，否则很容易被病毒冲击而亡）。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网络的出口映像到抓包主机上，所有对外访问的网络包都会被分析到。

3．开始抓包。抓包主机已经设置好了，网络里的数据包也已经送过来了，那么我们看看网络里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来，这些就是被捕获的数据包（如图）。

图中的主体窗口里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP地址、协议类型、源目的端口号等内容。很容易看出IP地址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求，并且目的端口都是445。

4.找出染毒主机。从抓包的情况看，主机10.32.20.71值得怀疑。首先我们看一下目的IP地址，这些地址我们网络里存在吗？很可能网络里根本就没有这些网段。其次，正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗？在毫秒级的时间内发出几十甚至几百个连接请求，正常吗？显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协议，该协议存在拒绝服务攻击的漏洞，连接端口是445，从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP地址。剩下的工作就是给该主机操作系统打补丁杀病毒了。

既然抓到了病毒包，我们看一下这个数据包二进制的解码内容：

这些数据包的长度都是62个字节。数据包前12个字节包括了目的MAC和源MAC的地址信息，紧跟着的2字节指出了数据包的类型，0800代表的是IP包格式，0806代表ARP包格式。接着的20个字节是封装的IP包头，包括了源、目的IP地址、IP版本号等信息。剩下的28个字节封装的是TCP包头，包括了源、目的端口，TCP链接的状态信息等。这就构成了一个62字节的包。可以看出除了这些包头数据之外，这个包没有携带其他任何的有效数据负荷，所以这是一个TCP要求445端口同步的空包，也就是病毒主机在扫描445端口。一旦染毒主机同步上没有采取防护措施的主机445端口，便会利用系统漏洞传播感染。