封包分析1

为了方便分析，我们把图片都放到一起大家看看！

上面发送的封包是http://www.ff.com

下面发送的封包内容是：http://www.ee.com

我们比较一下两个封包，可以发现，相同的部分很多，按我们的分析应该差别只应该在“ee”与"ff"的区别，因为发送的内容只有这点差别，但是上面的封包显示出来的却不是这样，为什么？

其实，他们确实是一样的，在IE的封包里面，01、02、03、04都代表点的意思，也就是代表："."这个意思，那么你再分析就发现完全和我们预料的一样了，这里是IE发送的封包，没有加密的，您可以直接读出来的！但是这不是10进制，而是16进制，因此，我们必须把它翻译成为10进制，以方便我们阅读，怎么办？
别忘了，我在WPE下载页给出了一个Asic II工具，现在就用吧，
好，我们来翻译这个封包，前面的不管，我们只关心封包里面的数据：打开Asic II工具，输入"W",点查看，看到了什么？------“77”（十六进制），看到了吧，我们输入的有3个“W”，这里是不是有3个77啊？前面已经讲过，02代表点号，那么，接下来是不是也是我们预料的是“f”呢？我们继续用工具查一下看看，果然不出我们分析所料，真是f，不用多猜了，接下来的内容就是".com"怎么样？是不是很简单呢？下面我们把这个过程完整地给大家演示一遍！
首先，拔掉网线（这里是为了简单才拔的，其实不拔也可以，只是会出现返回封包，不容易辨认）打开WPE，然后，打开Internet Exproler，然后在WPE中选中我们要截取封包的Internet Exproler程序，然后点拦截封包，然后在Internet Exproler中输入一个简单的网址，按回车后，在WPE中开始拦截，看到发送了一个封包后，点停止，就看到我们需要的封包了，下面是图解过程：
1.打开WPE

，2.打开Internet Exproler

3.打开在选择游戏中选择Internet Exproler程序，点两下

 4.在Internet Exproler中输入http://www.ff.com,然后按回车

 5.在WPE中点拦截

点三角形

收到封包后点红色的正方形，封包就出现了！

注意，图上的最后一副图的左上角有个蓝色的“S”，意思是：这个后面的封包是发送的，英文的单词是"sent"如果出现的是“R”，那么意思是它后面的封包是接受到的而不是发送的，区别如下图！