本篇将图文并茂教你如何使用抓包工具，并在文章最后教大家如何得到FTP的用户名密码。

一、安装

本文为大家介绍一个非常好用的抓包工具，科来。

下载地址：

http://www.colasoft.com.cn/

下载完毕，双击直接下一步即可安装。

二、界面介绍

双击桌面图标：

启动界面如下：

选择实时分析，进入选择网卡界面：

电脑是通过无线网卡连接路由器，所以选择无线网络连接2。【如果是有线网卡，选择本地连接】

点击开始，即可实现抓包：

科来功能十分强大，我们仅介绍常用的一些功能：

1. 选择网卡
2. 开始抓包
3. 停止抓包
4. 设置过滤器
5. 显示IP会话信息
6. 显示TCP会话信息
7. 显示UDP会话信息

每一个按钮详细解释啊如下：

1. 设置网络接口界面

4. 设置过滤器参考第三章

5. 显示IP会话信息科来最大的优点就是把所有的数据根据源和目的进行了归类，这样方便我们根据查找和某个服务器的的进程交互的所有的数据包。

6. 显示TCP会话信息

点击TCP会话

点击上方的数据包分类的窗口，科来帮助我们把tcp数据包交互的所有的时序也帮助我们排好了！

彩！

可以清晰的看到TCP通信从3次握手、到数据发送、ack回复，4次握手。

查看数据包内容：

如上图所示，我们选中三次握手的syn包，右侧上方为科来帮我们解析过的数据包头信息，右侧下方为实际数据包的16进制信息。

7. 显示UDP会话信息

点击编号是19的数据包：

三、如何过滤数据包

过滤器设置窗口如下：

我们可以根据需要选择我们要抓取的数据包，比如我们只想抓取ICMP(ping包)的数据包，只需要选中即可：

这样我们再次点击开始，就只会抓取ICMP的数据包了。

1. 过滤端口

点击右侧的添加按钮，进入过滤条件设置页面：

然后选中该协议：

在浏览器中输入以下地址：

http://sohu.com:8888/
该网址是访问sohu.com对应的服务器的8888端口，rfc1738有关于域名信息的详细解释。
点击开始，即可抓取到该端口的所有数据包，而非8888端口的数据包就会过滤掉。

2. 过滤ip地址

我们首先获取baidu服务器的ip地址：

可得到 百度服务器地址 39.156.69.79

如果我们只想抓取和百度服务器通信的所有数据包，设置如下：

其中：|| 是逻辑或的意思，该表达式表示所有目的ip或者源ip是39.156.69.79的数据包。

选中该过滤条件：

点开开始，开启抓包：

然后，ping 39.156.69.79

即可抓取到对应的ping包

注意，要在IP会话中查看。

点击数据包：

3. 其他

过滤器的表达式还有很多种，比如：

• 不抓取端口号为8888数据包,表达式为:

port != 8888


• 不抓取ip地址为39.156.69.79 的数据包,表达式为:

dstip != 39.156.69.79