抓包

原文: Wireshark抓包，带你快速入门 前言 关于抓包我们平时使用的最多的可能就是Chrome浏览器自带的Network面板了（浏览器上F12就会弹出来）。另外还有一大部分人使用Fiddler，Fiddler也是一款非常优秀的抓包工具。但是这两者只能对于HTTP和HTTPS进行抓包分析。如果想要对更底层的协议进行分析（如TCP的三次握手）就需要用到我们今天来说的工具Wireshark，同样是一款特牛逼的软件，且开源免费自带中文语言包。 安装和基本使用 Wireshark开源地址： https://github.com/wireshark/wireshark Wireshark下载地址： https://www.wireshark.org/download ，这里有它的历史版本。今天我们就来安装最新版本3.2.0，一路默认“下一步”安装大法就可以了。安装好后默认就是中文版。 开始抓包 显示过滤器 你会发现第一部分内容跳到非常快，根本没法找到自己想要分析的内容。这里我们可以使用显示过滤器，只显示我们想要看的内容。 在显示过滤器填入 http.reques127.0.0.1thod == "GET" ,然后用Chrome浏览器访问 http://fanyi-pro.baidu.com/index （特意找的一个http网站） 除了过滤Get请求外，常用的显示过滤器还有： tcp

摘要： 0x00 索引说明 6.30在OWASP的分享，关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http:/... 0x00 索引说明 6.30在OWASP的分享，关于业务安全的漏洞检测模型。进一步的延伸科普。 0x01 身份认证安全 1 暴力破解 在没有验证码限制或者一次验证码可以多次使用的地方，使用已知用户对密码进行暴力破解或者用一个通用密码对用户进行暴力破解。 简单的验证码爆破。URL: http://zone.wooyun.org/content/20839 一些工具及脚本 Burpsuite htpwdScan 撞库爆破必备 URL: https://github.com/lijiejie/htpwdScan hydra 源码安装xhydra支持更多的协议去爆破 (可破WEB，其他协议不属于业务安全的范畴) 2 session & cookie类 会话固定攻击：利用服务器的session不变机制，借他人之手获得认证和授权，冒充他人。案例： WooYun: 新浪广东美食后台验证逻辑漏洞，直接登录后台，566764名用户资料暴露！ Cookie仿冒

抓包应该是每个技术人员掌握的基础知识，无论是技术支持运维人员或者是研发，多少都会遇到要抓包的情况，用过的抓包工具有fiddle、wireshark，作为一个不是经常要抓包的人员，学会用 Wireshark就够了，毕竟它是功能最全面使用者最多的抓包工具。 Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵的，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。 wireshark的官方下载网站： http://www.wireshark.org/ wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。 wireshark是开源软件，可以放心使用。 可以运行在Windows和Mac OS上。 Wireshark不能做的

概述 https是加密过的应用层协议，如果直接使用wireshark抓包，抓到的信息解析不出来，我们也看不懂，密钥信息浏览器都知道的，以Linux下的谷歌浏览器为例，如何让wireshark可以解析出https。 具体做法 首先设置一个环境变量，然后新建此文件，注意该文件的权限问题。 SSLKEYLOGFILE="/tmp/sslkeylog.txt" 环境变量可以设置在/etc/profile或者用户下的配置文件中，如果是写在了用户目录下，需要命令行中启动浏览器，应该是因为安装浏览器是全局安装的，所以不会检查用户的环境变量。SSLKEYLOGFILE是浏览器提供的一个功能，可以把通信中的SSL信息写入到此文件中。 接着设置wireshark，在编辑--首选项--协议里找到SSL或者TLS协议，有个(Pre)-Master-Secret log filename选项，浏览到刚刚新建的文件夹下，如果需要的话，可以再设置一下debug file，查看解密情况。此时，再用wireshark抓包，就可以看到https的通信了。 参考链接 如何用 wireshark 抓包 TLS 封包 SSL/TLS协议详解 来源： https://www.cnblogs.com/python-dd/p/12643197.html

来源： https://www.cnblogs.com/georgexu/p/10909832.html

抓包工具使用 1.作用： （1）捕获网络协议包 （2）分析网络协议包 2.分类： （1）命令行工具，如tcpdump （2）图像界面工具，wireshark 3.tcpdump命令行工具的使用 3.1格式：tcpdump [ -DenNqvX ] [ -c count ] [ -F file ] [ -i interface ] [ -r file ] [ -s snaplen ] [ -w file ] [ expression ] 3.2选项分类 抓包选项 -c ： 指定要抓取的包数量 -i interface ： 指定tcpdump需要监听的接口，-I 后面直接跟网卡名即可，如-I ens33 -n：对地址以数字方式显式，否则显式为主机名 -nn ： 除了-n的作用外，还把端口显示为数值 输出选项 -e：输出的每行中都将包括数据链路层头部信息，例如源MAC和目标MAC。 -q：快速打印输出。即打印很少的协议相关信息，从而输出行都比较简短。 -X：输出包的头部数据，会以16进制和ASCII两种方式同时输出。 -XX：输出包的头部数据，会以16进制和ASCII两种方式同时输出，更详细。 -v：当分析和打印的时候，产生详细的输出。 -vv：产生比-v更详细的输出。 -vvv：产生比-vv更详细的输出 其他功能选项 -D：列出可用于抓包的接口 -F：从文件中读取抓包的表达式 -w

一 个人信息 姓名：何远波 学号：201821121088 班级：计算1813 二 实验目的 熟练使用Packet Tracer工具。分析抓到的HTTP数据包，深入理解：HTTP协议，包括语法、语义、时序。 三 实验内容 客户端向服务器发送请求报文，服务器向客户端发送响应报文。具体包含： 建立网络拓扑结构 配置参数 抓包 分析数据包 四 实验报告 （1）建立网络拓扑结构 该实验网络拓扑图由一台pc和一台服务器组成 （2）配置参数 客户端的IP地址：192.168.1.88；服务器的ip地址：192.168.1.89 （3）抓包并分析抓到的数据包 抓到的HTTP数据包： 请求报文： 响应报文： 从报文中可以看出客户端已经约束了能从服务器得到什么类型的信息 （4）通过该实验产生新的疑问及解答 疑问： 1 什么是抓包？ 解答：抓包(packet capture)就是将 网络传输 发送与接收的数据包进行 截获 、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。 2 什么是http协议？ 解答：HTTP是一个简单的请求-响应协议，它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII码形式给出；而消息内容则具有一个类似MIME的格式。这个简单模型是早期Web成功的有功之臣

tcpdump分析与使用 参考博客 https://yq.aliyun.com/articles/573120?spm=a2c4e.11155435.0.0.33453a10zlXi7N https://www.cnblogs.com/wangchaowei/p/8572711.html https://github.com/the-tcpdump-group/libpcap https://blog.csdn.net/u012501054/article/details/80969953 tcpdump原理 tcpdump命令是基于unix系统的命令行的数据报嗅探工具，可以抓取流动在网卡上的数据包。它的原理大概如下：linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文（准确的是网络设备）消息的处理权。当网卡接收到一个网络报文之后，它会遍历系统中所有已经注册的网络协议，如以太网协议、x25协议处理模块来尝试进行报文的解析处理。当抓包模块把自己伪装成一个网络协议的时候，系统在收到报文的时候就会给这个伪协议一次机会，让它对网卡收到的保温进行一次处理，此时该模块就会趁机对报文进行窥探，也就是啊这个报文完完整整的复制一份，假装是自己接收的报文，汇报给抓包模块。 tcpdump的版本 我们可以通过tcpdump --version来查看系统中tcpdump的源码版本

关于一次配合开发工作而产生的服务器内核参数问题(Android 网络问题) 问题转载（本人与作者遇到了同样的问题） 问题描述 问题描述： 在这几年的Android开发中，遇到了一个困扰我好久的问题，有时候在公司的wifi下，请求我们的公司自己的服务器很慢，甚至经常请求失败，切换成移动网络3G或者4G，就明显变快。but在相同的wifi环境下,用iphone和电脑请求就很快 刚开始发现手机wifi很慢的时候，以为是公司网络的问题，所以找运维去解决，运维的解释是我们公司用的北京鹏博士的宽带，公司机房是用的北京联通的宽带，公司的网络连接公司的服务器要经过武汉的转接点才能连到公司的服务器，绕了一个大圈，导致请求变慢，解决方法是 接入多个运营商 ，但是由于公司预算的问题，这个没法解决。 后来发现只有Android手机连接服务器比较慢，iPhone和windows电脑请求都正常，我猜想可能是应用的网络请求框架有问题，因此专门写了一个demo,用Android提供的HttpUrlConnection直接请求，然后又用系统浏览器直接请求接口，也有同样的问题，排除了框架问题的可能。 难道是Android手机的wifi模块质量比较次，所以我把手头所有Android手机都测试了一遍，不管是贵的，还是便宜的，可能爆炸的还是工匠精神的都有此问题，并且还发现在家里的wifi下速度嗖嗖的

选择要抓包的接口 1.导出 .har文件 File-->Export Sessions-->Selected Sessions ,选择HTTPArchive v1.2-->Next,选择文件保存位置即可。 2.导出text文件 选择的接口右键-->Save -->Selected Sessions -->as Text 来源： https://www.cnblogs.com/may18/p/12552976.html