http://keios.51.net/raw.rar
小巧的绿色命令行软件,
我写它是希望能用来方便的调试应用层协议,而不用安装其它臃肿繁琐的网络监听软件。
目前支持解析 SNMP 和 http头 。
简单的使用方法:
rawipdump -s
rawipdump -b <本地IP地址>
具体的参数看 -h 吧。希望网络版有人能试用并给我提些建议,谢谢!
小巧的绿色命令行软件,
我写它是希望能用来方便的调试应用层协议,而不用安装其它臃肿繁琐的网络监听软件。
目前支持解析 SNMP 和 http头 。
简单的使用方法:
rawipdump -s
rawipdump -b <本地IP地址>
具体的参数看 -h 吧。希望网络版有人能试用并给我提些建议,谢谢!
测试中
一下
测好了再告诉你情况
这依赖于windows的原始套接口的实现。
由于设置SIO_RCVALL后,可以收到所在以太冲突域中的所有IP包,
因此可以理解为“监听网段的机器的所有IP包”。
当然也可以根据端口过滤。
to 3m2u(SameToYou)
你的这个命令行:
C:\>rawipdump -b 192.168.1.104 host 211.99.AA.BB 211.99.CC.DD
host 后面的 IP 地址是用点分的4个十进制数表示的,所以你用AA.BB这样的16进制是不能成功的。
to mengxihe(濛溪河)
开不开源,我倒是无所谓,只是不知道像这样简单的小项目,开源是否有意义?
你说的不行,是什么现象?
// 自己写的win2k sniffer 观察 tcp 连接时的 握手 情况, 数据包 次序 出错
http://community.csdn.net/Expert/topic/3636/3636143.xml?temp=.969784 现在 用你的 sniffer 观察 握手的 次序 ,也是这种情况
实验数据如下:
15:16:29.927 IP TCP 192.168.100.191:1750 > 192.168.100.111:445 : ....S
seq:2331583063-2331583063 ack:0 win:44620 :15:16:29.937 IP TCP 192.168.100.191:1750 > 192.168.100.111:445 : .A...
seq:2331583064-2331583064 ack:2415522261 win:46537 :15:16:29.937 IP TCP 192.168.100.111:445 > 192.168.100.191:1750 : .A..S
seq:2415522260-2415522260 ack:2331583064 win:64240 :
你的sniffer 也是 SYN --> ACK --> SYN&ACK 理论顺序应该是 SYN --> SYN&ACK --> ACK 请你在自己的机子上做个同样的实验 ,验证一下我的结果 ,可以吗 ? 谢谢
rawipdump [OPTIONS] [expression]
一定要先写-?的参数,表达式写在最后。OPTIONS:
-b <local ip address> 绑定本地的IP地址,大家都知道原始套接口是要指定bind一个本地地址才能用的,我理解windows实际是用它来选择使用哪块网卡。
-w <file name> 将所有收到(!!也包括被表达式滤掉的包)的包,和tcpdump -w 同样的格式保存到文件。可以用ethereal打开解析。
-l <file name> 将屏幕打印的信息同时记录到文件。
-s 手动选择绑定的网卡,和 -b 不能一起使用。
-d 显示解包的详细内容
-x 当解包失败时,以16进制方式打印数据
-X 把所有的通过过滤的IP包的完整数据同时以16进制方式再打印一份expression(表达式),根据地址、端口、协议进行过滤:
host a.b.c.d 只解析 IP 源地址或目的地址是 a.b.c.d 的包,这里可以写多个 IP 地址。
ipproto TCP 或 ipprpto UDP ,表示只解析 TCP 协议或 UDP 协议。
port N 只解析源/目的端口是 N 的包,可以写多个端口。
上述三种表达式均是可选的,无先后顺序,不写表示无限制。
简单的例子:
rawipdump -b 192.168.0.1 host 61.186.252.136 ipproto tcp port 80
监听与 61.186.252.136(csdn论坛) 之间的 http 连接
哈哈,当然不敢和NAI-sniffer比啦,但是优点是不用安装任何驱动,不会破坏windows协议栈,小巧。
缺点是不能监听ARP等二层协议,但是一般调试应用层协议时用不到。
我写它是用来调试程序的,自我感觉还比较好用,以后会逐步完善的。
在codeproject这段代码的评论里面,有很多人反映了这个问题。
今天codeproject网站出了点问题,基本访问不了,本来想把链接找出来的。
多谢你的提醒!我找到了你曾经发起的讨论:
http://search.csdn.net/Expert/topic/2280/2280994.xml?temp=.8454553
我想这可能和网卡的类型或者操作系统的实现有关。
但是至少在我目前能接触到的环境,还没有发现你提到的问题,本机发出的icmp包都能接收到。
我只想把它做为一个辅助的调试工具,如果真的遇到这样的环境,再改用NAI-sniffer也不迟:)
请教