攔截本地回環資料
- 本機訪問本機的回環資料是不經過網卡的(比如在本地訪問搭建在本機上的web服務),但我們經常有服務搭建在本機的操作也經常有攔截本地回環資料包加以分析的需求,所以我們環要攔載回環資料包
- 以管理員身份運行cmd
- 使用ipconfig查看本機ip和網關
Windows 添加路由
-
在命令列下輸入route命令,會有對應的提示資訊
-
添加一條路由條目
route add 173.18.18.0 mask 255.255.255.0 172.18.18.1
運用:假設自己的網關是172.18.18.1,要訪問的同事的網關173.18.18.222,但是ping不通,價格路由之后就可以ping通了 -
添加一條永久路由條目
route -p add 173.18.18.0 mask 255.255.255.0 172.18.18.1 -
洗掉路由條目
route delete 173.18.18.0 -
查看所有的路由表資訊
route print
使用以下命令添加路由,指定回環資料也要先轉發到網關
route add IP地址 mask 255.255.255.255 網關 metric 1
基本使用
開始抓包
顯示過濾器
- 找到自己分析的內容,可以使用過濾器
- 在過濾器那一欄中填入
http.request.method == "GET",然后用Chrome瀏覽器訪問http://fanyi-pro.baidu.com/index
- 常用的過濾器
tcp、udp 前者表示只顯示tcp,后者表示只顯示udp,也可以!tcp,表示顯示除了tcp之外的,還可以tcp or udp,表示顯示tcp和udp,
ip.src == 192.168.1.120 and ip.dst == 208.101.60.87 ,ip.src表示客戶端ip(源地址ip)、ip.dst表示服務器ip(目標地址ip)
tcp.port == 80 || udp.srcport == 80 ,tcp.port 表示tcp的埠為80,udp.srcport表示udp源埠為80,||表示或者和or等效,&&和and等效,(還有tcp.srcport、tcp.dstport等等)
捕獲過濾器
- 可以在捕獲階段就過濾掉無用的流量
- udp、tcp 前者表示只顯示tcp,后者表示只顯示udp,也可以!tcp,表示顯示除了tcp之外的,還可以tcp or udp,表示顯示tcp和udp,
- host 192.168.1.110 ,表示只捕獲ip地址為192.168.1.110的封包(這里的語法和顯示過濾器不一樣,請注意)
- dst port 80 or port 443、not port 53,表達埠的過濾(這里的語法和顯示過濾器不一樣,請注意)
著色規則
- 不同顏色代表不同含義
- 具體規則可以查看 識圖 -> 著色規則
抓取localhost(環回地址)
- localhost走的其實是npcap loopback adapter網卡(環回網卡),Wireshark抓包其實就是對網卡抓包,所以,Wireshark肯定是可以對localhost等環回地址進行抓包,只要捕獲的時候選中網卡即可,
抓取移動設備流量
如果要抓取移動設備,可以先在筆記本電腦開啟wifi熱點,捕獲對應的虛擬網卡,最后用手機連上wifi就可以進行抓包了,
win10自帶了wifi熱點,不用去找第三方的wifi熱點軟體了,如果手機連不上,可以嘗試關掉筆記本的防火墻試試,
TCP / IP 四層協議
- 下面的動圖是各層對應的資料
從上面的動圖我們可以發現,應用層到傳輸層再到網路層到以太網層,其對應的資料包也在對應的往前移,
我們可以想象一下,應用層資料往上傳遞,每經過一層就包上一個新得信封,等資料送到目的主機,然后每往下一層就拆一個信封,最后拆到應用層也就是最開始得資料了,
TCP 三次握手
那么在Wireshark中怎么觀察呢,我們還是以http://fanyi-pro.baidu.com/地址為例,首先打開Chrome輸入地址,F12打開瀏覽器的Network面板,重繪頁面在面板中找到服務器IP, 打開Wireshark開始抓包,并在顯示過濾器只顯示IP地址對應的資料,
TCP 四次揮手
除了三次握手,還有對應的四次揮手,不知道是不是我網路不好,“揮手”的時候老是出現重傳錯誤干擾(就是前面說的那種紅字黑底封包),下面是我本地環境自己寫代碼的抓包效果,
與握手不同是揮手是發送FIN標志位斷開連接,其他都差不多,
HTTPS 的抓包
因為HTTPS是HTTP的基礎下加入SSL加密層,所以Wireshark抓到是密文,也就看不到請求引數和回應結果,甚至連url鏈接都是密文,
要想在Wireshark抓包明文資料,可進行如下操作:
- 1、windows電腦配置環境變數 SSLKEYLOGFILE D:\testssl.txt
- 2、Wireshark 編輯 - 首選項 - Protocols - TLS 最后一個選中D:\testssl.txt,
如果是HTTP2可以進行http2.headers.method == "GET"或http2.headers.method == “POST”,如果是HTTP可以進行http.request.method == "GET"過濾,
UDP 協議
Wireshark除了可以抓包TCP同樣也可以對UDP進行抓包
其實這個抓取的是BACnet報文,而這個BACnetIP正是基于UDP的一個協議,
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/302749.html
標籤:其他