抓包

TCP: 　　TCP/IP通过三次握手建立一个连接。这一过程中的三种报文是：SYN，SYN/ACK，ACK。 　　第一步是找到PC发送到网络服务器的第一个SYN报文，这标识了TCP三次握手的开始。 如果你找不到第一个SYN报文，选择 Edit -> Find Packet 菜单选项。选择Display Filter，输入过滤条件：tcp.flags，这时会看到一个flag列表用于选择。选择合适的flag，tcp.flags.syn并且加上==1。点击Find，之后trace中的第一个SYN报文就会高亮出来了。 　　注意：Find Packet也可以用于搜索十六进制字符，比如恶意软件信号，或搜索字符串，比如抓包文件中的协议命令。 一个快速过滤TCP报文流的方式是在 Packet List Panel 中右键报文，并且选择 Follow TCP Stream 。这就创建了一个只显示TCP会话报文的自动过滤条件。 　　这一步骤会弹出一个会话显示窗口，默认情况下包含TCP会话的ASCII代码，客户端报文用红色表示服务器报文则为蓝色。 　　窗口类似下图所示，对于读取协议有效载荷非常有帮助，比如HTTP，SMTP，FTP。 　　更改为十六进制Dump模式查看载荷的十六进制代码，如下图所示： 关闭弹出窗口，Wireshark就只显示所选TCP报文流。现在可以轻松分辨出3次握手信号。 注意

工具说明: 　抓包工具 Wireshark， 用来获取网络数据封包，包括 HTTP、TCP、UDP 等网络协议包。wireshark是 开源 软件，可以放心使用。 可以运行在 Windows 和 Mac OS 上。 wireshark只能查看封包，而不能修改封包的内容，或者发送封包。 Wireshark VS Fiddler Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的 内容。总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。 同类的其他工具：微软的 network monitor ， sniffer 开始抓包 　wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。 点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击”Start”按钮, 开始抓包。 点击接口名称之后，就可以看到实时接收的报文。Wireshark会捕捉系统发送和接收的每一个报文。如果抓取的接口是无线并且选项选取的是混合模式，那么也会看到网络上 其他报文。上端面板每一行对应一个网络报文，默认显示报文接收时间

当我们需要跟踪网络有关的信息时，经常会说“抓包”。这里抓包究竟是什么？抓到的包又能分析出什么？在本文中以TCP/IP协议为例，简单介绍TCP/IP协议以及如何通过wireshark抓包分析。 Wireshark 是最著名的网络通讯抓包分析工具。功能十分强大，可以截取各种网络封包，显示网络封包的详细信息。 Wireshark下载安装，略。注意，若在Windows系统安装Wireshark，安装成功后可能会出现Wireshark的两个图标，一个是Wireshark(中文版）；另外一个是Wireshark Legacy （英文版）。下面的内容会以Wireshark Legacy为例介绍。 打开Wireshark，开始界面如下： Wireshark捕获的是网卡的网络包，当机器上有多块网卡的时候，需要先选择网卡。开始界面中的Interface List，即网卡列表，选择我们需要的监控的网卡。点击Capture Options，选择正确的网卡，然后点击"Start"按钮, 开始抓包。 我们打开浏览器输入任意http网址，连接再关闭，比如：http://blog.csdn.net。然后，我们回到Wireshark界面，点击左上角的停止按键。查看此时Wireshark的抓包信息。在看抓包信息之前，先简单介绍下Wireshark界面的含义。其中，封包列表的面板中显示编号、时间戳、源地址、目标地址

tcpdump抓包 使用命令： 　　tcpdump -i lo -s 0 -w /data/data/info.txt 　　-i lo 表示我指定lo这个接口 　　-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包 　　-w /data/data/info.txt 指定存储的路径文件 wireshark解包 　　打开指定文件 　　过滤显示： 　　　　ip.addr==127.0.0.1 　　　　tcp.port == 8888 　　　　...... 来源： https://www.cnblogs.com/jiangyu0331/p/11942640.html

image.png 前言 fiddler是一个很好的抓包工具，默认是抓http请求的，对于pc上的https请求，会提示网页不安全，这时候需要在浏览器上安装证书。 一、网页不安全 1.用fiddler抓包时候，打开百度网页： https://www.baidu.com 2.提示：网页不安全 image.png 二、fiddler设置 1.打开菜单栏：Tools>Fiddler Options>HTTPS 2.勾选Decrypt HTTPS traffic，里面的两个子菜单也一起勾选了 image.png 三、导出证书 1.点右上角Actions按钮 2.选第二个选项，导出到桌面，此时桌面上会多一个文件：FiddlerRoot.cer,如左侧图。 image.png 四、导入到firefox浏览器 1.打开右上角浏览器设置》选项》高级》证书》查看证书》证书机构》导入 image.png 2.勾选文件导入 image.png 3.打开文件后，会弹出个框，勾选三个选项就完成操作啦。 image.png 如果还不能成功，那就重启浏览器，重启电脑了。 Fiddler抓包2-只抓APP的请求 前言 fiddler抓手机app的请求，估计大部分都会，但是如何只抓来自app的请求呢？ 把来自pc的请求过滤掉，因为请求太多，这样会找不到重要的信息了。 环境准备： 1.电脑上已装fiddler 2

②UDP协议 Source port：52343是端口号（用来传输数据包的端口） Destination port：45448是目的端口号（用来数据包将要被传输到的端口） Length：73是数据包字节长度 Checksum：0xb4b0是数据段的校验和（ 用来确保 UDP首部和数据部分的完整性） 如图可知 UDP是不分片的 三、网络层 ①IP报文 Version是版本：4 Header Length是长度：20字节 Differentiated Services Field就是区域服务：0x00 Total Length是总长度:20 Identification位标识:0x2220(8736) Flags是TCP标志：含6种标志；ACK：确认序号有效；SYN：同步序号用来发起一个连接；FIN：发端完成发送任务；RST：重新连接；PSH：接收方应该尽快将这个报文段交给应用层；URG：紧急指针(urgentpointer)有效； ②ARP协议 当一台主机把以太网数据帧发送到位于同一个局域网上的另一台主机时，是根据以太网地址来确定目的接口的， ARP协议需要为IP地址和MAC地址这两种不同的地址形式提供对应的关系。上面是个ARP请求报文。包含了目的主机IP地址。 ③ICMP协议 ICMP是网络报文控制协议，他是一个对IP协议的补充协议。允许主机或路由器报告差错情况和异常状况

https://blog.csdn.net/zqixiao_09/article/details/53056854 来源： https://www.cnblogs.com/erhu-67786482/p/11929681.html

抓包是拦截查看网络数据包内容的软件，通过对抓获的数据包进行分析，可以得到有用的信息。抓包通过对网络上传输的数据进行抓取，可以对其进行分析，对于软件的Debug很大的帮助。也可以通过抓取用户发送的涉及用户名和密码的数据包来获取用户的密码。 抓包工具更多的用于网络安全，比如查找感染病毒的计算机。有时也用于获取网页的源代码，以及了解攻击者所用方法、追查攻击者的ip地址等。 来源： https://www.cnblogs.com/wdn135468/p/11926779.html

Request: 　　 Reply: 　　 来源： https://www.cnblogs.com/ReaderinMarch-/p/11923100.html

来源： https://www.cnblogs.com/ReaderinMarch-/p/11923101.html