抓包

目录 1 实验目的 2 实验内容 3. 实验报告 3.1 建立网络拓扑结构 3.2 配置参数 3.3 抓包，分析TCP连接建立过程 1 实验目的 使用路由器连接不同的网络 使用命令行操作路由器 通过抓取HTTP报文，分析TCP连接建立的过程 2 实验内容 使用Packet Tracer，正确配置网络参数，通过抓取HTTP数据包，分析TCP连接建立过程。 建立网络拓扑结构 配置参数 抓包 分析数据包 3. 实验报告 在博文开头给出你的个人信息 姓名：赵伟 学号：201821121086 班级：计算1813 3.1 建立网络拓扑结构 网络拓扑 图如下图所示： 3.2 配置参数 清除路由器的配置 配置并激活端口 配置路由器算法 验证参数配置 建立连接 3.3 抓包，分析TCP连接建立过程 画出TCP连接建立示意图 疑问：为什么建立连接是三次握手，而关闭连接却是四次挥手呢？ 来源： https://www.cnblogs.com/cwt521/p/11689685.html

1、电脑上抓包，一般通过浏览器即可 2、手机端抓包：https://www.cnblogs.com/findyou/p/3491014.html 3、pc客户端抓包：暂时为检测 来源： https://www.cnblogs.com/helloNico/p/11687824.html

前言 fiddler作为一个中间商协议代理，众所周知，有请求就会有响应，那没有响应呢？那就是哪个环节出现问题了。通过代理就可以查看到所有请求信息、与响应信息。举个例子，以前上学时有没有写过情书？或者给别人传过情书？我倒是给妹子写过，也有收到过！ 例子： 我曾经写了一封情书，内容是xxx，但是自己不敢直接给到她，这时我想到的是委托她身边的朋友再给到我喜欢的妹子，于是我便让她这位身边的朋友将情书给到妹子手上。此过程呢，我就是一个请求，她身边的朋友就是代理，但是代理是不是就可以知道里面的内容，甚至曝光我的情书内容了呢？甚至更改我的情书内容，不给到妹子手上？显然是的。 如果妹子收到了，没鸟我、没回我，是不是我内容不够丰富姿势不对？还是不喜欢我？所以这个时候就要考虑到了知己知彼百战百胜，了解妹子想要什么喜欢什么，这是不是对应我们的接口文档了呢？至于妹子是不是我的你们说了算，一下来学习吧！ 下载与安装 官网下载地址： https://www.telerik.com/download/fiddler 私人网盘下载：https://pan.baidu.com/s/1ZUhuuJchhadW4SHlxXiQPg 提取码：hrko 1.下载后直接运行，下一步、下一步、下一步安装完成后，到安装目录下运行 Fiddler.exe 就行了（小技巧：可创建一个快捷方式到桌面哦） 2.界面简介...

TCP Retransmission 连接超时 kame 2019/3/17 33 TCP 记一次TCP 连接超时 背景 用户反馈 >> 有出现支付超时、页面问题 （部分情况会出现） 分析 检查最近是否有上线导致 (并没有上线) 排除 对接第三方平台 API接口是否有上线 (没有) 排除 是否网络延迟导致 （从前端 到后端 内网检测没问题ICMP包）,检查从外网到第三方接口（ICMP没有问题） 排除网络问题导致 没有办法只能上tcpdump 抓包 (抓取双方服务器 网络通讯数据包) 发现 ICMP，http协议均无问题，只有TCP 出现问题,如图所示： 难道是TCP连接跑满了？ 检查本机机房并没有，检查对方服务器也没有。 我擦 一头雾水 怎么搞。。。。。。 冷静分析一波。。。。。。。抽个烟想想。。。 从TCP 抓包上看吧 问题描述：TCP Retransmission SYN重传，第三次握手被重传了，没有收到服务器放的ACK确认 在服务器上抓包能捕获SYN的请求，那就说明服务器端接收到了请求但是没有回应ACK包，于是想起了以前nat环境下tw_recyle` 的坑，当多个客户端使用同一个外网IP通过NAT访问内网服务器的时候，服务器如果在内核参数中打开了net.ipv4.tcp_tw_recycle = 1 就有可能导致服务器收到SYN但是不会向客户端发送SYN+ACK包

“ 现在可以公开的情报：简易操作Fiddler抓包可能 ” 任何App的更新都限于苹果开发者规定，有时为了上架不得已放弃一些真正实用的功能，比如视频音频的直接下载，脚本的直接导入，手机上IPA的直接安装等等，这样上架的往往是功能阉割版令人遗憾，这时就能够使用Fiddler拦截https请求捕捉App功能齐全的旧版。 上手Fiddler抓包 — ----------云端情报社 准备：Windos电脑，下载安装Fiddler（自行百度下载一堆），iTunes12.6.7之前版本，小编使用的是12.5.5 首先我们要做的是利用Fiddler找到我们要抓的app的旧版本号 ， 在这里以UC浏览器为例，最新版本号为11.9.0，大小125MB,我们要抓10.5.5版本，ID为：812506712大小约57MB： First，打开iTunes搜索uc，此时先不要点下载--- 与此同时再打开fiddler跳出提示点击no就好 先进行fiddler初步设置，点击Tools，点击子栏目第一个如图 之后点击https把前俩项打钩 然后按F11或者点击如图按钮 返回iTunes，此时点击下载，然后立刻回到fiddler，点击请求如图所示 点击绿色的Run放行，之后会出现新的拦截，点击它然后Run放行，点击TextView和XML查看版本号如图 完成后关闭fiddler，回到iTunes

打开抓包文件，在filter输入过滤条件，找到符合条件的 右击 追踪流 查看流消息。 过滤表达式的规则 表达式规则 1. 协议过滤 比如TCP，只显示TCP协议。 2. IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102， ip.dst==192.168.1.102, 目标地址为192.168.1.10 3. 端口过滤 tcp.port ==80, 端口为80的 tcp.srcport == 80, 只显示TCP协议的愿端口为80的。 4. Http模式过滤 http.request.method=="GET", 只显示HTTP GET方法的。 5. 逻辑运算符为 AND/ OR 常用的过滤表达式 过滤表达式 用途 http 只查看HTTP协议的记录 ip.src ==192.168.1.102 or ip.dst==192.168.1.102 源地址或者目标地址是192.168.1.102 封包列表(Packet List Pane) 封包列表的面板中显示，编号，时间戳，源地址，目标地址，协议，长度，以及封包信息。 你可以看到不同的协议用了不同的颜色显示。 你也可以修改这些显示颜色的规则， View ->Coloring Rules. -----------------------------------------------

抓包准备 1. Android手机需要先获得root权限。一种是否获得root权限的检验方法：安装并打开终端模拟器（可通过安卓市场等渠道获得）。在终端模拟器界面输入su并回车，若报错则说明未root，若命令提示符从$变#则为rooted； 2. 如果Android手机尚未root，可通过superoneclick或其它方法进行root处理（需要先安装Microsoft .NET Framework）。Superoneclick刷root权限教程：（ http://soft.shouji.com.cn/news/501.shtml） 3. 需要先获得 Android SDK 4. 需要获得tcpdump软件，获取地址( http://www.strazzere.com/android/tcpdump ) 抓包步骤 1. 将Android手机与电脑USB相连，打开windows命令提示符窗口 2. 将tcpdump程序copy至android手机（该命令前面那个目录文件为本地地址，后面那个目录为目的手机端地址） C:\android-sdk-windows\platform-tools>adb push c:/tcpdump /data/local/tcpdump 3. 修改tcpdump的权限 C:\android-sdk-windows\platform-tools>adb

Fiddler和app抓包 1：请在“运行”，即下面这个地方输入certmgr.msc并回车，打开证书管理。 打开后，请点击操作--查找证书，如下所示： 然后输入“fiddler”查找所有相关证书，如下所示： 可以看到，我们找到一个，您可能会找到多个，不要紧，有多少个删多少个，全删之后，这一步完成 2：再接下来，打开火狐浏览器，进入选项-高级-证书-查看证书，然后找以DO_NOT开头的关于Fiddler的证书，以字母排序的，所以你可以很快找到。找到多少个还是删除多少个， 特别注意，请如图中【个人、服务器、证书机构、其他】等标签依次查找，以免遗漏，切记切记！ 3：下载 FiddlerCertMaker.exe，可以去官网找，下载了这个之后，直接安装，直到如下 然后点击确定，关掉它。 4：有了证书之后，请重启Fiddler（关掉再开），重启之后，访问https的网站，比如淘宝首页，有可能成功了，但你也有可能会发现如下错误："你的连接并不安全" 等类似提示。见到这里，你应该开心，离成功近了。 5：果断的，打开fiddler，“Tools--Fiddler Options--HTTPS”，然后把下图中同样的地方勾上（注意一致），然后点击actions，然后先点击Trust Root…，然后，再点击Export Root…，此时，导出成功的话，在桌面就有你的证书了。 务必注意：这一步成功的话

（一）原理分析 https的数据包是用对称秘钥（https协议协商出来的随机数）加密后的密文。 对称秘钥在传输线路上是密文的（被非对称加密过），但是在client、server端是明文的（因为要用于加解密）。 对称秘钥如何获取？谷歌浏览器有一个接口，chrome浏览器的https协议中的对称秘钥会保存在”SSLKEYLOGFILE" （windows的一个环境变量，值为自定义的一个文本文件）中，wireshark有读取对称秘钥文件的接口。 这样一来，就可以抓包和解密了。 说明：不要以为会获取对称秘钥就可以破解网络上任意的https数据包了。这个对称秘钥是临时协商出来的。你下一次访问，对称秘钥又要改变了。所以，你不参与到client、server端，只参与到传输过程抓包，是无法获取当时的对称秘钥的（被非对称秘钥加了密），也就无法解密https的。所以本文名称为（在客户端）https抓包解密。 （二）操作演示 1、获取对称秘钥 1）windows中设置全局变量 新建一个文件：D:\Temp\sslkey.log (空文件，不用管里面的内容) 配置环境变量： 　　变量名：SSLKEYLOGFILE 　　变量值：D:\Temp\sslkey.log 2）wireshark中设置读取全局变量 2、抓对应的包 1）选择需要抓包的网卡 2）访问谷歌浏览器：目标网站（如：https://www

网友解释一 有个靠硬件的较为简单的办法，就是路由器的 WAN 口那条线接集线器，集线器出来两条线一条接路由器，一条接电脑，抓包就能抓到了。 https://www.right.com.cn/forum/thread-196439-1-1.html 网友解释二 如果你家的路由器比较高端，支持端口镜像的话，可以直接进行抓包 如果不能，那就只能使用抓包软件来实现了 电脑1下载wireshark这个软件就可以抓到电脑1的数据包。 如果电脑1想抓电脑2的包，必须1、2都接在hub上，hub再接到路由器里。 http://ask.zol.com.cn/q/1236503.html 来源： https://www.cnblogs.com/andy9468/p/11579102.html