wireshark抓包

Websocket抓包

（1.）通过wirshark抓，需要在websocket连接的时候开始抓，如果已经连上则抓不到包

# 显示指定端口，http和websocket协议的数据包
tcp.port == 8088 && (http || websocket)

# 说明：
必须从WebSocket建立连接时开始抓包，否则无法过滤出来WebSocket协议数据
不能过滤使用SSL/TLS连接的WebSocket数据包

(2.) 使用tcpdump抓包

tcpdump -vn -i eth0 port 8088 -w /home/root/websocket2.cap

(3.) tcpdump参数说明

tcpdump 抓包
-c：指定要抓取的包数量。
-i interface：指定tcpdump需要监听的接口。默认会抓取第一个网络接口
-n：对地址以数字方式显式，否则显式为主机名，也就是说-n选项不做主机名解析。
-nn：除了-n的作用外，还把端口显示为数值，否则显示端口服务名。
-P：指定要抓取的包是流入还是流出的包。可以给定的值为"in"、"out"和"inout"，默认为"inout"。
-s len：设置tcpdump的数据包抓取长度为len，如果不设置默认将会是65535字节。对于要抓取的数据包较大时，长度设置不够可能会产生包截断
：输出行中会出现"[|proto]"的标志(proto实际会显示为协议名)。但是抓取len越长，包的处理时间越长，并且会减少tcpdump可缓存的数据包的数量，
：从而会导致数据包的丢失，所以在能抓取我们想要的包的前提下，抓取长度越小越好。
输出选项：
-e：输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。
-q：快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。
-X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。
-XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。
-v：当分析和打印的时候，产生详细的输出。
-vv：产生比-v更详细的输出。
-vvv：产生比-vv更详细的输出。
其他功能性选项：
-D：列出可用于抓包的接口。将会列出接口的数值编号和接口名，它们都可以用于"-i"后。
-F：从文件中读取抓包的表达式。若使用该选项，则命令行中给定的其他表达式都将失效。
-w：将抓包数据输出到文件中而不是标准输出。可以同时配合"-G
time"选项使得输出文件每time秒就自动切换到另一个文件。可通过"-r"选项载入这些文件以进行分析和打印。
-r：从给定的数据包文件中读取数据。使用"-"表示从标准输入中读取。

wirshark抓取protobuf包

（1.）设置proto文件路径

Edit->Preferences->Protocols->ProtoBuf->Protobuf search paths

Unsniff Network Analyzer 抓取protobuf包

参考链接

https://www.cnblogs.com/songwenjie/p/8575579.html

https://wiki.wireshark.org/Protobuf.md

https://blog.csdn.net/jasonhwang/article/details/109271066

https://www.unleashnetworks.com/resources/articles/115-analyzing-protobuf-encoding-streams.html