抓包工具原理和使用
阿新 • • 發佈:2019-01-09
抓包環境
常用的抓包工具
- RawCap
- 可以轉到本地迴環(127.0.0.1)的資料
- 抓取所有協議的包
- Fiddler
- HTTP或者HTTPS 協議抓包
- 可以過濾,抓取特定特徵的包
- 可以攔截資料包,篡改資料包
- Wireshark
- 抓取所有的資料包,但不可抓回環的資料包
- 可以過濾,抓取特定特徵的包
- 可以攔截資料包,篡改資料包
- 可做流量分析,流量統計工具
- 其他
Rawcap
Rawcap 簡介
RawCap是針對windows的免費開源軟體,並且能夠抓取windows本地迴環介面127.0.0.1 (localhost)的資料包
Rawcap 使用
Usage : RawCap.exe [OPTIONS] <interface_nr> <target_pcap_file>
OPTIONS:
-f Flush data to file after each packet (no buffer)
-c <count> Stop sniffing after receiving <count> packets
-s <sec> Stop sniffing after <sec> seconds
INTERFACES:
0. IP : 192.168 .78.100
NIC Name : 本地連線
NIC Type : Ethernet
1. IP : 169.254.87.196
NIC Name : VMware Network Adapter VMnet1
NIC Type : Ethernet
2. IP : 169.254.100.164
NIC Name : VMware Network Adapter VMnet8
NIC Type : Ethernet
3. IP : 127.0 .0.1
NIC Name : Loopback Pseudo-Interface 1
NIC Type : Loopback
Example: RawCap.exe 0 dumpfile.pcap
Rawcap下載
Fiddler
Fiddler 簡介
Fiddler是一款HTTP協議除錯代理工具,它能夠抓取記錄本機所有HTTP(S)請求,其執行機制是本機127.0.0.1上監聽8888埠的HTTP代理
Fiddler 原理
是位於客戶端和伺服器端的HTTP代理,也是目前最常用的http抓包工具之一 。 它能夠記錄客戶端和伺服器之間的所有 HTTP請求,可以針對特定的HTTP請求,分析請求資料、設定斷點、除錯web應用、修改請求的資料,甚至可以修改伺服器返回的資料,功能非常強大,是web除錯的利器
Fiddler 作為系統代理,當啟用 Fiddler 時,IE 的PROXY 設定會變成 127.0.0.1:8888,因此如果你的瀏覽器在開啟fiddler之後沒有設定相應的代理,則fiddler是無法捕獲到HTTP請求的。如下是啟動Fiddler之後,IE瀏覽器的代理設定
Fiddler 使用
WireShark
協議分析
流量分析
抓包過濾器
BPF 語法(Berkley Packet Filter)
型別Type host net port
方向Dir
協議 ether
邏輯運算子(&& || !)
eg:
src host 192.168.1.1 && dst port 80
host 192.168.1.1 || 192.168.1.2
!broadcat
顯示過濾器語法
- 比較操作符
==、!=、>、<、>=、<= - 邏輯操作符
and、or、xor(有且僅有一個條件滿足)、not - IP地址
ip.addr、ip.src、ip.dst - 埠過濾
tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn、tcp.flag.ack - 協議過濾
arp、ip、icmp、udp、tcp、dns
eg:
+ tcp.dstport == 80 || tcp.dstport == 1025
+ tcp.dstport == 80 && tcp.dstport == 1025
+ ip.src!=10.1.2.3 or ip.dst!=10.4.5.6
+ ip.src!=10.1.2.3 and ip.dst!=10.4.5.6
+ tcp.flags.syn==0x02 (包含TCPSYN標誌)
高階功能
- 資料流追蹤
- 專家資訊說明
- 對資料包中特定狀態進行警告說明
- 錯誤
- 警告
- 注意
- 對話
- 正常相關說明
- 統計概要說明
- summery
- 協議分層統計
- 統計通訊流量中不同協議佔用的百分比
- 通過這個工具可以對全網流量有直觀的瞭解,到底整個網路哪些流量佔用最多,哪些佔用量少等等
- 網路節點和會話統計
- 圖表分析