抓包应该是每个技术人员掌握的基础知识无论是技术支持运维人员或者是研发,多少都会遇到要抓包的情况用过的抓包工具有fiddle、wireshark,作为一个不是经常要抓包的人员學会用Wireshark就够了,毕竟它是功能最全面使用者最多的抓包工具
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口直接与网卡进行数据报文交换。
网络封包分析软件的功能可想像成 "电工技師使用电表来量测电流、电压、电阻" 的工作 -
只是将场景移植到网络上并将电线替换成网络线。在过去网络封包分析软件是非常昂贵的,或是专门属于营利用的软件Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下使用者可以以免费的代价取得软件与其源代码,并擁有针对其源代码修改及客制化的权利Ethereal是目前全世界最广泛的网络封包分析软件之一。
wireshark是非常流行的网络封包分析软件功能十分强大。可以截取各种网络封包显示网络封包的详细信息。
为了安全考虑wireshark只能查看封包,而不能修改封包的内容或者发送封包。
这样做的目的是为了得到与浏览器打开网站相关的数据包将得到如下图
图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的 这说明HTTP嘚确是使用TCP建立连接的。
客户端发送一个TCP标志位为SYN,序列号为0 代表客户端请求建立连接。 如下图
客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:
就这样通过了TCP三次握手建立了连接
【a】http:指定網络协议
该步骤可以过滤出和该HTTP数据包有关的TCP数据包,包括TCP 3次握手TCP分片和组装等。
【2】最终得到HTTP请求和响应
【a】红色背景字体为HTTP请求藍色背景字体为HTTP响应
【b】从User-Agent中可以看出,360浏览器兼容模式使用了IE8内核(该台计算机操作系统为XPIE浏览器版本为8),这说明360浏览器使用了系統中的IE核
图4 HTTP请求和响应具体内容
网络中明码传输的危险性
进入登录界面后,输入账号和密码登入系统
2、接下来停止wireshark的截取封包的操作,执行快捷方式的"Stop"即可
不过,捕获的信息非常多这个时候可以利用Display Filter功能,过滤显示的内容如下图所示,点击Expression,然后选择过滤表达式這里,我们选择TELNET即可
表达式确定之后,选择"Apply",就可以过滤出只包含TELNET的封包
来我们查看一下整个telnet会话的所有记录,
OK 我们看到以下这些数據信息,红色的部分是我们发送出去的DATA蓝色的部分是我们接收到的DATA。 告诉我, 你看到了什么
为了更准确的看清楚我们再次仅筛选出峩们发送出去的DATA。或者仅接收到的DATA
从这里,我们可以确切的抓到账号和密码信息login:wireshark Password:123456,除了这些我们还可以更进一步知道别人在看什么網站,或是私人文件隐私将毫无保障。
注:为了避免这些情况防止有心人监测到重要信息,可以使用SSH,SSL,TSL,HTTPS等加密协议对重要数据进行加密然后再到网络上传输,如果被人截取下来看到的内容也是被加密的。
捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中需要在开始捕捉前设置。
显示过滤器(DisplayFilters):在捕捉结果中进行详细查找他们可以在得到捕捉结果后随意修改。
如果没有特别指明是什么協议则默认使用所有支持的协议。
如果没有特别指明来源或目的地则默认使用 “src or dst” 作为关键字。
如果没有指定此值则默认使用”host”關键字。
否(“not”)具有最高的优先级或(“or”)和与(“and”)具有相同的优先级,运算时从左至右进行
换句话说,显示的封包将会为:
来源IP:除叻10.1.2.3以外任意;目的IP:任意
来源IP:任意;目的IP:除了10.4.5.6以外任意
换句话说显示的封包将会为:
来源IP:除了10.1.2.3以外任意;同时须满足,目的IP:除叻10.4.5.6以外任意
如果过滤器的语法是正确的表达式的背景呈绿色。如果呈红色说明表达式有误。