“黑客”必用兵器之“网络抓包工具”上一篇文章阐述了网络通信原理、网络协议端口、漏洞扫描等网络相关知识。 很多网友说看了这些文章之后就可以了，但觉得读了还不能深刻理解。 今天我教大家一个工具。 有了这个工具，你可以验证你以前学习的网络知识。 “这是什么工具？ 这么不可思议。 其实，我想很多人都听说过或者用过。 而且，该工具也是从事黑客和网络工程的工作者不可缺少的工具。 那就是“网络快照工具”。

今天详细介绍在网上抓包的目的。 常用的网络承包商有什么？ 网络轻拂工具的使用方法和诀窍！

http://www.Sina.com/http://www.Sina.com /

公式定义： packet capture还用于监听、重发、编辑、导出等操作，并检查网络安全。 包也经常用于数据的剪切等。

对于白黑客来说，数据包的目的是分析网络消息、识别网络接口问题、分析APP应用程序数据接口、学习网络协议，使用数据包工具可以直观地识别网络数据

对于黑帽黑客来说，抓包的目的更明确，是为了寻找漏洞。 黑客首先用包拦截数据，然后提取包内的账户密码、包内的APP应用信息等有价值的数据。 拦截这些数据后，可以重新编辑，更改里面的价值信息并再次导出。 例如，新闻被上海警方曝光后，发生了一起巨大的网络盗窃事件。 在短短半天的时间里，黑客非法拿出了数千万美元的金额。 为什么黑客能在这么短的时间内非法提取这么多钱呢？ 原来，黑客发现了某资产管理APP的系统不完善，利用网络入侵的形式非法修改了APP发送到后台的数据信息。 例如，黑客充值一元，利用搜刮将一元更改为1000或更高的数据发送到服务器，但实际上他只是充值了一元，发送到服务器的数据被恶意修改。

在这里，我们学习的目的是掌握这个技术，让我们能够更好地服务于生活，为社会创造正面的价值，我们需要提醒伙伴们，千万不要走上犯罪的道路。

一、

网络抓包目的是什么？

Wireshark在Windows、mac和linux上有自己的版本，是图形捕获软件中最常见的版本，黑客需要网络管理员和安全人员。

网络管理员使用Wireshark检测网络问题，网络安全工程师使用Wireshark检测与信息安全相关的问题，开发人员使用Wireshark调试新协议，以及普通用户

二、常用的网络抓包工具有哪些？

tcpdump可以捕获所有层的数据，功能非常强大，tcpdump Linux作为网络服务器，特别是用作路由器和网关时，数据的收集和分析至关重要。 TcpDump是Linux上功能强大的网络数据采集分析工具之一。 用简单的语言定义tcpdump，就是dump the traffic on a network根据用户的定义拦截网络上数据包的数据包分析工具。 作为互联网上经典系统管理员的必备工具，tcpdump以其强大的功能、灵活的拦截策略，成为各高级系统管理员分析网络、排除问题等的必备工具之一。

1、Wireshark

HttpWatch是一个强大的网络数据分析工具，集成到Internet Explorer工具栏中。 网络摘要. Cookies管理.缓存管理.标头发送和接收.字符查询. POST数据和目录管理功能.报告输出. HttpWatch是一个可以收集和显示深层信息的软件。 您可以在查看网页的同时查看网页请求和响应的日志信息，而无需代理服务器或复杂的网络监视工具。 您甚至可以查看浏览器缓存和IE之间的交换信息。 已集成到Internet Explorer工具栏中。

2、tcpdump

当前，Web安全渗透是一个必备工具，没有一个是非常强大的，Burp Suite是攻击web APP应用程序的集成平台。 它包含许多工具，为了加快对APP应用程序的攻击过程，为这些工具设计了许多接口。 所有工具都共享一个强大、可扩展的框架，用于处理和显示HTTP消息、持久性、身份验证、代理、日志和警报

3、httpwatch

目前最常用的web消息渗透工具非常强大，能够进行最本地代理、消息播放等。 Fiddler是一个http协议调试代理工具，它记录和检查你的电脑和互联网之间的所有http通信，设置断点，设置所有“出入”Fiddler的数据(cookie，htmp Fiddler比其他网络调试器更容易，因为它不仅暴露了http通信，而且提供了一种易于使用的格式。

4、Burpsuite

Charles支持抓取http、https协议的请求，不支持套接字。 使用情况与fiddler大致相同。 也是常用的抓包工具。

三.5、Fiddler

/p>

由于常用的抓包工具众多，使用方法也很相似这里我只介绍其中大家最常用的Wireshark网络抓包工具的使用方法。

工具，它是功能最全面使用者最多的抓包工具。Wireshark是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

Wireshark基础架构如下：

 

Wireshark的官方下载网站：

Wireshark是开源软件，可以跨平台使用

具体使用方法如下：

1、 界面窗口介绍

 

1.1WireShark 主要分为这几个界面

1) Display Filter(显示过滤器)， 用于过滤

2) Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表

3) Packet Details Pane(封包详细信息), 显示封包中的字段

4) Dissector Pane(16进制数据)

5) Miscellanous(地址栏，杂项)

1.2常用按钮从左到右的功能依次是：

1) 列出可用接口。

2) 抓包时需要设置的一些选项。一般会保留最后一次的设置结果。

3) 开始新的一次抓包。

4) 暂停抓包。

5) 继续进行本次抓包。

6) 打开抓包文件。可以打开之前抓包保存后的文件。不仅可以打开wireshark软件保存的文件，也可以打开tcpdump使用-w参数保存的文件。

7) 保存文件。把本次抓包或者分析的结果进行保存。

8) 关闭打开的文件。文件被关闭后，就会切换到初始界面。

9) 重载抓包文件。

2、点击网络接口，获取报文

点击接口名称之后，就可以看到实时接收的报文。Wireshark会捕捉系统发送和接收的每一个报文。如果抓取的接口是无线并且选项选取的是混合模式，那么也会看到网络上其他报文。

上端面板每一行对应一个网络报文，默认显示报文接收时间（相对开始抓取的时间点），源和目标IP地址，使用协议和报文相关信息。点击某一行可以在下面两个窗口看到更多信息。”+”图标显示报文里面每一层的详细信息。底端窗口同时以十六进制和ASCII码的方式列出报文内容。

 

需要停止抓取报文的时候，点击左上角的停止按键。

 

色彩标识:

进行到这里已经看到报文以绿色，蓝色，黑色显示出来。Wireshark通过颜色让各种流量的报文一目了然。比如默认绿色是TCP报文，深蓝色是DNS，浅蓝是UDP，黑色标识出有问题的TCP报文——比如乱序报文。

 

报文样本:

比如说你在家安装了Wireshark，但家用LAN环境下没有感兴趣的报文可供观察，那么可以去Wireshark wiki下载报文样本文件。

打开一个抓取文件相当简单，在主界面上点击Open并浏览文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打开。

 

过滤报文:

如果正在尝试分析问题，比如打电话的时候某一程序发送的报文，可以关闭所有其他使用网络的应用来减少流量。但还是可能有大批报文需要筛选，这时要用到Wireshark过滤器。

最基本的方式就是在窗口顶端过滤栏输入并点击Apply（或按下回车）。例如，输入”dns”就会只看到DNS报文。输入的时候，Wireshark会帮助自动完成过滤条件。

 

也可以点击Analyze菜单并选择Display Filters来创建新的过滤条件。

 

另一件很有趣的事情是你可以右键报文并选择Follow TCP Stream。

 

你会看到在服务器和目标端之间的全部会话。

 

关闭窗口之后，你会发现过滤条件自动被引用了——Wireshark显示构成会话的报文。

 

检查报文:

选中一个报文之后，就可以深入挖掘它的内容了。

也可以在这里创建过滤条件——只需右键细节并使用Apply as Filter子菜单，就可以根据此细节创建过滤条件。

 

3、应用Wireshark观察基本网络协议

wireshark与对应的OSI七层模型

 

TCP报文：TCP/IP通过三次握手建立一个连接。这一过程中的三种报文是：SYN，SYN/ACK，ACK。这个我之前的文章有讲过就不在陈述过程了，接下来用抓包工具阐述以下过程。

首先打开wireshark, 打开浏览器输入一个网址，然后在wireshark中输入http过滤， 然后选中GET /tankxiao HTTP/1.1的那条记录，右键然后点击”Follow TCP Stream”,这样做的目的是为了得到与浏览器打开网站相关的数据包，将得到如下图

 

图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的， 这说明HTTP的确是使用TCP建立连接的。

第一次握手数据包

客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图

 

第二次握手的数据包

服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

 

第三次握手的数据包

客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

 

就这样通过了TCP三次握手，建立了连接。

ARP & ICMP：

开启Wireshark抓包。打开Windows控制台窗口，使用ping命令行工具查看与相邻机器的连接状况。

 

停止抓包之后，Wireshark如下图所示。ARP和ICMP报文相对较难辨认，创建只显示ARP或ICMP的过滤条件。

 

ARP报文：

地址解析协议，即ARP（Address Resolution Protocol），是根据获取的一个。其功能是：将ARP请求到网络上的所有主机，并接收返回消息，确定目标的物理地址，同时将IP地址和硬件地址存入本机ARP缓存中，下次请求时直接查询ARP缓存。

最初从PC发出的ARP请求确定IP地址192.168.1.1的MAC地址，并从相邻系统收到ARP回复。ARP请求之后，会看到ICMP报文。

ICMP报文：

网络控制消息协定（Internet Control Message Protocol，ICMP）用于网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈，通过这些信息，令管理者可以对所发生的问题作出诊断，然后采取适当的措施解决。

PC发送echo请求，收到echo回复如上图所示。ping报文被jmdmj成Type 8，回复报文jmdmj成Type 0。

如果多次ping同一系统，在PC上删除ARP cache，使用如下ARP命令之后，会产生一个新的ARP请求。

HTTP：

HTTP协议是目前使用最广泛的一种基础协议，这得益于目前很多应用都基于WEB方式，实现容易，软件开发部署也简单，无需额外的客户端，使用浏览器即可使用。这一过程开始于请求服务器传送网络文件。

 

从上图可见报文中包括一个GET命令，当HTTP发送初始GET命令之后，TCP继续数据传输过程，接下来的链接过程中HTTP会从服务器请求数据并使用TCP将数据传回客户端。传送数据之前，服务器通过发送HTTP OK消息告知客户端请求有效。如果服务器没有将目标发送给客户端的许可，将会返回403 Forbidden。如果服务器找不到客户端所请求的目标，会返回404。

如果没有更多数据，连接可被终止，类似于TCP三次握手信号的SYN和ACK报文，这里发送的是FIN和ACK报文。当服务器结束传送数据，就发送FIN/ACK给客户端，此报文表示结束连接。接下来客户端返回ACK报文并且对FIN/ACK中的序列号加1。这就从服务器端终止了通信。要结束这一过程客户端必须重新对服务器端发起这一过程。必须在客户端和服务器端都发起并确认FIN/ACK过程。