前言
關于抓包我們平時使用的最多的可能就是Chrome瀏覽器自帶的Network面板了(瀏覽器上F12就會彈出來),另外還有一大部分人使用Fiddler,Fiddler也是一款非常優秀的抓包工具,但是這兩者只能對于HTTP和HTTPS進行抓包分析,如果想要對更底層的協議進行分析(如TCP的三次握手)就需要用到我們今天來說的工具Wireshark,同樣是一款特牛逼的軟體,且開源免費自帶中文語言包,
安裝和基本使用
Wireshark開源地址:https://github.com/wireshark/wireshark
Wireshark下載地址:https://www.wireshark.org/download,這里有它的歷史版本,今天我們就來安裝最新版本3.2.0,一路默認“下一步”安裝大法就可以了,安裝好后默認就是中文版,
開始抓包
顯示過濾器
你會發現第一部分內容跳到非常快,根本沒法找到自己想要分析的內容,這里我們可以使用顯示過濾器,只顯示我們想要看的內容,
在顯示過濾器填入http.request.method == "GET",然后用Chrome瀏覽器訪問http://fanyi-pro.baidu.com/index(特意找的一個http網站)
除了過濾Get請求外,常用的顯示過濾器還有:
- tcp、udp 前者表示只顯示tcp,后者表示只顯示udp,也可以!tcp,表示顯示除了tcp之外的,還可以tcp or udp,表示顯示tcp和udp,
- ip.src =https://www.cnblogs.com/zhaopei/p/= 192.168.1.120 and ip.dst == 208.101.60.87 ,ip.src表示客戶端ip(源地址ip)、ip.dst表示服務器ip(目標地址ip)
- tcp.port == 80 || udp.srcport == 80 ,tcp.port 表示tcp的埠為80,udp.srcport表示udp源埠為80,||表示或者和or等效,&&和and等效,(還有tcp.srcport、tcp.dstport等等)
捕獲過濾器
顯示過濾器是指捕獲了所有經過網卡的封包,然后在顯示的時候進行過濾顯示,明顯,如果流量過大會導致捕獲的內容過多,篩選變得卡頓,所以,我們可以在捕獲階段的時候就過濾掉無用的流量,
- udp、tcp 前者表示只顯示tcp,后者表示只顯示udp,也可以!tcp,表示顯示除了tcp之外的,還可以tcp or udp,表示顯示tcp和udp,
- host 192.168.1.110 ,表示只捕獲ip地址為192.168.1.110的封包(這里的語法和顯示過濾器不一樣,請注意)
- dst port 80 or port 443、not port 53,表達埠的過濾(這里的語法和顯示過濾器不一樣,請注意)
著色規則
我們看到第一部分內容,封包串列有各種不同的背景色,其不同顏色代表不同意義,淡藍色代碼udp協議,紅字黑底代表有問題的封包,更多具體規則可 識圖->著色規則
抓取localhost(環回地址)
localhost走的其實是npcap loopback adapter網卡(環回網卡),Wireshark抓包其實就是對網卡抓包,所以,Wireshark肯定是可以對localhost等環回地址進行抓包,只要捕獲的時候選中網卡即可,
抓取移動設備流量
如果要抓取移動設備,可以先在筆記本電腦開啟wifi熱點,捕獲對應的虛擬網卡,最后用手機連上wifi就可以進行抓包了,
win10自帶了wifi熱點,不用去找第三方的wifi熱點軟體了,如果手機連不上,可以嘗試關掉筆記本的防火墻試試,
TCP/IP四層協議
下面的動圖是各層對應的資料
從上面的動圖我們可以發現,應用層到傳輸層再到網路層到以太網層,其對應的資料包也在對應的往前移,
我們可以想象一下,應用層資料往上傳遞,每經過一層就包上一個新得信封,等資料送到目的主機,然后每往下一層就拆一個信封,最后拆到應用層也就是最開始得資料了,
TCP三次握手
對于三次握手我想很多人只聽過沒見過,那么今天我們就來見見,
三次握手是程序: 1、客戶端發送同步SYN標志位和序列號Seq(a) 2、服務器回復SYNACK、Seq(b)、Ack(a+1)3、客戶端回復SYN、Seq(a+1)、Ack(b+1)
那么在Wireshark中怎么觀察呢,我們還是以http://fanyi-pro.baidu.com/地址為例,首先打開Chrome輸入地址,F12打開瀏覽器的Network面板,重繪頁面在面板中找到服務器IP, 打開Wireshark開始抓包,并在顯示過濾器只顯示IP地址對應的資料,
TCP四次揮手
除了三次握手,還有對應的四次揮手,不知道是不是我網路不好,“揮手”的時候老是出現重傳錯誤干擾(就是前面說的那種紅字黑底封包),下面是我本地環境自己寫代碼的抓包效果,
與握手不同是揮手是發送FIN標志位斷開連接,其他都差不多,
Wireshark抓包如下
HTTPS的抓包
因為HTTPS是HTTP的基礎下加入SSL加密層,所以Wireshark抓到是密文,也就看不到請求引數和回應結果,甚至連url鏈接都是密文,
要想在Wireshark抓包明文資料,可進行如下操作:
- 1、windows電腦配置環境變數 SSLKEYLOGFILE D:\testssl.txt
- 2、Wireshark 編輯 - 首選項 - Protocols - TLS 最后一個選中D:\testssl.txt,
如果是HTTP2可以進行http2.headers.method == "GET"或http2.headers.method == "POST",如果是HTTP可以進行http.request.method == "GET"過濾,
UDP協議
Wireshark除了可以抓包TCP同樣也可以對UDP進行抓包,
其實這個抓取的是BACnet報文,而這個BACnetIP正是基于UDP的一個協議,
ModBusTcp協議
結束
授人以魚不如授人以漁,Wireshark不僅可以對我們常見的HTTP、HTTPS、TCP等協議進行抓包分析,還能對工業上的BACnet、ModBus、S7Communication和其他PLC協議進行報文抓包分析,如這位大佬就通過抓包破解了西門子PLC沒有公開的協議,
希望有興趣的朋友可以一起來完善IoTClient組件,
參考
- https://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html
- https://www.jianshu.com/p/d3725391af59
- https://blog.csdn.net/qq_38950316/article/details/81087809
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/75396.html
標籤:.NET Core