[TOC]

Wireshark VS Fiddler/Charles

Wireshark功能很多、作用效果很底層，并且可以監(jiān)聽指定的網(wǎng)卡上流過的所有流量，支持的協(xié)議如下：

ARP 協(xié)議：地址解析協(xié)議，即ARP（Address Resolution Protocol），是根據(jù) IP地址 獲取 物理地址 的一個 TCP/IP協(xié)議

ICMP 協(xié)議：控制 報文 協(xié)議。 它是 TCP/IP協(xié)議簇 的一個子協(xié)議，用于在IP 主機 、 路由 器之間傳遞控制消息

TCP 協(xié)議， TCP/IP是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議，它會保證數(shù)據(jù)不丟包、不亂序。TCP全名是Transmission Control Protocol，它是位于網(wǎng)絡OSI模型中的第四層(Transport layer)

三次握手：

理想狀態(tài)下，TCP連接一旦建立，在通信雙方中的任何一方主動關閉連 接之前，TCP 連接都將被一直保持下去。斷開連接時服務器和客戶端均可以主動發(fā)起斷開TCP連接的請求，斷開過程需要經過“四次握手”（過程就不細寫 了，就是服務器和客戶端交互，最終確定斷開）

通俗的話：三次握手是 1.客戶端發(fā)生請求，“服務器服務器，請求請求?。?！” 2.服務器不確定是不是他，要進行確認，“我不知道你是不是我要等的那個客戶端，我要確定一下” 3.客戶端就發(fā)送確認信息，“是我是我！” 服務器收到之后，確認過眼神遇上對的客戶端，就建立連接了。

UDP 協(xié)議：UDP協(xié)議與TCP協(xié)議一樣用于處理數(shù)據(jù)包，在OSI模型中，兩者都位于傳輸層，處于IP協(xié)議的上一層。UDP有不提供數(shù)據(jù)包分組、組裝和不能對數(shù)據(jù)包進行排序的缺點，也就是說，當報文發(fā)送之后，是無法得知其是否安全完整到達的

DNS 協(xié)議：DNS協(xié)議是用來將域名轉換為IP地址（也可以將IP地址轉換為相應的域名地址）

HTTP 協(xié)議， FTP 協(xié)議：略

Fidder 的強大在于，專門為 Http/Https 協(xié)議定制的軟件，主要為了抓取這兩個協(xié)議的數(shù)據(jù)包

（一）下載與安裝

https://www.wireshark.org/download.html

Win補丁下載：

http://www.win10pcap.org/download/

執(zhí)行需要抓包的操作，如ping www.baidu.com

該圖為 Wireshark 的主界面，界面中顯示了當前可使用的接口，例如，本地連接 5、本地連接 10 等。要想捕獲數(shù)據(jù)包，必須選擇一個接口，表示捕獲該接口上的數(shù)據(jù)包

操作完成后相關數(shù)據(jù)包就抓取到了。為避免其他無用的數(shù)據(jù)包影響分析，可以通過在過濾欄設置過濾條件進行數(shù)據(jù)包列表過濾，獲取結果如下。說明：ip.addr == 110.242.68.4 and icmp 表示只顯示ICPM協(xié)議且源主機IP或者目的主機IP為110.242.68.4 的數(shù)據(jù)包。

http條件過濾

IP 過濾 比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102， ip.dst==192.168.1.102, 目標地址為192.168.1.102

Http模式過濾 http.request.method=="GET", 只顯示HTTP GET方法的

http.host==****53zaixian.com

http.host contains 53zaixian.com

過濾抓取53域名的http請求

http.host contains 53zaixian.com

（二）抓取https等解密

Wireshark+Chrome,HTTPS數(shù)據(jù)包抓取配置

配置系統(tǒng)環(huán)境變量

變量名：SSLKEYLOGFILE 變量值：此處可以隨意指定，作用是告訴chrome輸出SSLKEY的位置，而wireshark則可以使用此文件來解密HTTPS數(shù)據(jù)包。

配置Wireshark

填入剛才在系統(tǒng)變量指定的keylog文件的存儲路徑，以便wireshark訪問keylog中的key，來解密HTTPS數(shù)據(jù)包。 中文：編輯>首選項>protocols>TLS English：Edit>Preferences>protocols>TLS

（三）報文傳輸各層簡要介紹

·Frame: 物理層的數(shù)據(jù)幀概況

·Ethernet II: 數(shù)據(jù)鏈路層以太網(wǎng)幀頭部信息

·Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息

·Transmission Control Protocol: 傳輸層T的數(shù)據(jù)段頭部信息，此處是TCP

·Hypertext Transfer Protocol: 應用層的信息，此處是HTTP協(xié)議

物理層數(shù)據(jù)幀

數(shù)據(jù)鏈路層以太網(wǎng)幀的頭部信息

網(wǎng)絡層IP頭部包信息

傳輸層數(shù)據(jù)包頭部信息

HTTP協(xié)議分析，請求報頭，報文分析：

響應報文

追蹤流查看詳細信息：

這樣就可以比較清晰的看到一個數(shù)據(jù)流過程。還可以看到自己的****cookie****，host，瀏覽器信息，等http數(shù)據(jù)包的詳細內容。

本文由mdnice多平臺發(fā)布