⑴ 抓包抓下來的東西看不懂,是不是加密了
抓包的內容一般是不加密的,也有加密的,但是一般協議頭是不會加密的,數據包內容可能會加密,例如https的
⑵ 我用wireshark抓了一個包,不知道怎麼看
乙太網幀頭:目的mac+源mac+報文類型。對應ip包而言,轎螞報文類型是0800,所以0800是乙太網幀頭的做扒結尾部分
IP報文頭:大部分都是以4500開頭的,4表純帆昌示ipv4版本,5表示IP頭長度是5個LW(20bytes),00是用來表示報文優先順序的。可以通過找4500來確定ip頭的起始位置
http協議報文的每一行要以回車和換行結束,回車和換行緩存ASCII碼就是0d0a,所以可以通過0d0a來判斷這是一行http內容的結尾。
樓主貼出的報文內容已0d0a結尾,應該是屬於http內容。
要想查看乙太網幀頭和ip頭的話,應該去更前面的報文內容中找
⑶ charles中https怎麼是鎖的類型
加密類型。https是加密的,Charles需要配置證書才可以抓包。Charles其實是一款沒野代理伺服器,通過成為電腦或者瀏覽器的代理,然後截取請求和請求閉陸結果達到分枯態喊析抓包的目的。
⑷ 用抓包工具怎麼看數據是加密的
tcpmp -i +網口 tcp port +埠 and host +IP地址 -s 1024 -w mt_sms.cap
⑸ 如何用Wireshark查看HTTPS消息里的加密內容
大師在應用Tomcat等辦事器設備成HTTPS(基於TLS/SSL)後,調試時往往須要用Wireshark去抓包,並慾望查看此中的HTTP 消息。然則HTTPS的通信純困是加密的,所以默認景象下你只能看到HTTPS在建樹連接之初的交互證書和協商的幾個消息罷了,真正的營業數據(HTTP消息)是被加密的,你必須藉助辦事器密鑰(私鑰)才幹查看。即使在HTTPS雙向認證(辦事器驗證客戶端證書)的景象下,你也只須要辦事器私鑰就可以查看 HTTPS消息里的加密內容。
1. 設備Wireshark
選中Wireshark主菜單Edit->Preferences,將打開一個設備窗口;窗口左側是一棵樹(目次),你打開此中的 Protocols,將列出所有Wireshark支撐的和談;在此中找到SSL並選中,右邊窗口裡將列出幾個參數,此中「RSA keys list」即用於設備辦事器私鑰。該設備的格局為:
,,,
各欄位的含義為:
---- 辦事器IP地址(對於HTTPS即為WEB辦事器)。
---- SSL的埠(HTTPS的埠,如443,8443)。
---- 辦事器密鑰文件,文件里的私鑰必須是明文(沒有暗碼保護的格局)。
例如: 192.168.1.1,8443,http,C:/myserverkey/serverkey.pem
若你想設置多組如許的設備穗褲梁,可以用分號隔開,如:
192.168.1.1,8443,http,C:/myserverkey/clearkey.pem;10.10.1.2,443,http,C:/myserverkey/clearkey2.pem
2. 導出辦事器密鑰(私鑰)的明文格局(猜運即前面提到的)
openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem /
-outform PEM -subj "/O=ABCom/OU=servers/CN=servername"M
並且你的辦事器私鑰文件serverkey.pem還在,則可以如許導出辦事器私鑰明文文件:
openssl rsa -in serverkey.pem > clearkey.pem
履行號令式須要輸入私鑰的保護暗碼就可以獲得私鑰明文文件clearkey.pem了。
(2)若你已把serverkey.pem丟了,但還有pkcs12格局的辦事器證書庫文件,該文件當初用類似於以下號令生成的:
openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem /
-out tomcat.p12 -name tomcat -CAfile "¥HOME/testca/cacert.pem" /
-caname root -chain
則,你可以用下面號令把辦事器私鑰從tomcat.p12(pkcs12格局)文件里導出來:
openssl pkcs12 -in tomcat.p12 -nocerts -nodes -out clearkey.pem
履行號令式須要輸入pkcs12的保護暗碼。
然後編輯一下生成的clearkey.pem文件,把「-----BEGIN RSA PRIVATE KEY-----」之前的內容刪掉就可以了。
⑹ 抓包怎麼分析數據
問題一:抓包抓到的數據,怎麼分析啊 5分 1, 取決於你抓包的層級。一般來說都是與網站之間交換的,未經格式化的較為數據。
2, 可以從網卡抓取本機收發的數據,也有人把從瀏覽器或其它工作在頂層的軟體獲得的數據,成為抓包。
3, 如果你所在的區域網比較原始,你還是可以嘗試從網卡中獲得廣播的數據。
4, 分析有現成的軟體,主要針對無法加密的部分展開,即發送、接受方地址、時間、路徑、內容體積等進行。不涉及內容的情況下是典型的被動數據分析。
問題二:如何解析抓包的數據wireshark 首先我們打開wireshark軟體的主界面,在主界面上選擇網卡,然後點擊start。wireshark即進入抓包分析過程。在本篇我們選擇乙太網,進行抓包。
接下來再界面我們可以看到wireshark抓到的實時數據包。我們對數據包的各個欄位進行解釋。
1.No:代表數據包標號。
2.Time:在軟體啟動的多長時間內抓到。
3.Source:來源ip。
4.Destination: 目的ip。
5.Protocol:協議。
6.Length:數據包長度。
7.info:數據包信息。
接下來我們點擊解析後的某一條數據可以查看數據包的詳細信息。
在抓包過程中,我們可以點擊圖標啟動或者停止。來啟動或者停止抓取數據包。
接下來我們將簡單介紹Filter處,對來源Ip以及目的Ip的過濾表達式的寫法。
首先我們在Filter處填寫ip.addr eq 192.168.2.101。表示獲取來源ip以及目的ip都是192.168.2.101的數據包。(此處解釋 eq 換成==同樣的效果)
在Filter處填寫:ip.src == 192.168.2.101。表示獲取來源地址為192.168.2.101的數據包。
在Filter處填寫:ip.dst == 119.167.140.103。表示獲取目的地址為119.167.140.103的數據包。
在Filter處填寫:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45。表示獲取目的地址為119.167.140.103或者192.168.2.45的數據包。(此方法舉例主要說明or的用法。在or前後可以跟不同的表達式。)
在Filter處填寫:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101。表示獲取目的地址為119.167.140.103且來源地址為192.168.2.101的數據包。(此方法舉例主要說明and 的用法)
問題三:怎樣看wireshark抓包的數據 啟動wireshark後,選擇工具欄中的快捷鍵(紅色標記的按鈕)即可Start a new live capture。
主界面上也有一個interface list(如下圖紅色標記1),列出了系統中安裝的網卡,選擇其中一個可以接收數據的的網卡也可以開始抓包。
在啟動時候也許會遇到這樣的問題:彈出一個對話框說 NPF driver 沒有啟動,無法抓包。在win7或Vista下找到如禪謹C: \system\system32下的cmd.exe 以管理員身份運行,然後輸入 net start npf,啟動NPf服務。
重新啟動wireshark就可以抓包了。
抓包之前也可以做一些設置,如上紅色圖標記2,點擊後進入設置對話框,具體設置如下:
Interface:指定在哪個介面(網卡)上抓包(系統會自動選擇一塊網卡)。
Limit each packet:限制每個包的大小,預設情況不限制。
Capture packets in promiscuous mode:是否打開混雜模式。如果打開,抓 取所有的數據包。一般情況下只需要監聽本機收到或者發出的襲掘包,因此應該關閉這個選項。
Filter:過濾器。只抓取滿足過濾規則的包。
File:可輸入文件名稱將抓到的包寫到指定的文件中。
Use ring buffer: 是否使用循環緩沖。預設情況下不使用,即一直抓包。循環緩沖只有在寫文件的時候才有效。如果使用了循環緩渣基沖,還需要設置文件的數目,文件多大時回卷。
Update list of packets in real time:如果復選框被選中,可以使每個數據包在被截獲時就實時顯示出來,而不是在嗅探過程結束之後才顯示所有截獲的數據包。
單擊「OK」按鈕開始抓包,系統顯示出接收的不同數據包的統計信息,單擊「Stop」按鈕停止抓包後,所抓包的分析結果顯示在面板中,如下圖所示:
為了使抓取的包更有針對性,在抓包之前,開啟了QQ的視頻聊天,因為QQ視頻所使用的是UDP協議,所以抓取的包大部分是採用UDP協議的包。
3、對抓包結果的說明
wireshark的抓包結果整個窗口被分成三部分:最上面為數據包列表,用來顯示截獲的每個數據包的總結性信息;中間為協議樹,用來顯示選定的數據包所屬的協議信息;最下邊是以十六進制形式表示的數據包內容,用來顯示數據包在物理層上傳輸時的最終形式。
使用wireshark可以很方便地對截獲的數據包進行分析,包括該數據包的源地址、目的地址、所屬協議等。
上圖的數據包列表中,第一列是編號(如第1個包),第二列是截取時間(0.000000),第三列source是源地址(115.155.39.93),第四列destination是目的地址(115.155.39.112),第五列protocol是這個包使用的協議(這里是UDP協議),第六列info是一些其它的信息,包括源埠號和目的埠號(源埠:58459,目的埠:54062)。
中間的是協議樹,如下圖:
通過此協議樹可以得到被截獲數據包的更多信息,如主機的MAC地址(Ethernet II)、IP地址(Internet protocol)、UDP埠號(user datagram protocol)以及UDP協議的具體內容(data)。
最下面是以十六進制顯示的數據包的具體內容,如圖:
這是被截獲的數據包在物理媒體上傳輸時的最終形式,當在協議樹中選中某行時,與其對應的十六進制代碼同樣會被選中,這樣就可以很方便的對各種協議的數據包進行分析。
4、......>>
問題四:如何分析數據包判斷網路故障 從網路抓包是可以分析出很多東西,其中一項就是用來做排錯。
根據個人的實際經驗,用抓包來排錯有分為幾種情況:
1、通過數據包的有無來判斷故障,一般用於防火牆策略調試等場景,在防火牆上進行抓包,或交換機上鏡像抓包,或者這交換機內嵌抓包功能。這種抓包無需進行過多分析。
2、網路故障,已經明確網路設備配置不存在問題的情況下,通過抓包來判斷問題,我把這主要分為行為判斷和協議判斷。
1)最常見的是通過抓包數量來判定網路行為的是否正常,比如ARP病毒爆發一定會收到大量ARP數據包;攻擊行為也很多時候體現為大量數據包(但是一般判斷這種攻擊行為抓包不會放在第一步,只是在確定攻擊特徵時需要抓包);當然還有其他很多情況,適用於通過抓包數量來分析的。
2)通信質量判斷,抓包存在大量的重傳,此時通信質量一般都不太好。另外有視頻和語音的應用場景中,有時需要通過時間統計來判斷通信毛刺,來分析定位視頻和語音通信質量問題。
3)協議判斷,比如win2008和win2003通信時因為window
scale不兼容,導致窗口過小,而程序設計適當時,通信變動極其緩慢。這些判斷都是建立在抓包協議分析的基礎上的;另外不同廠商SIP通信對接也有可能會用到協議分析,其中一種方式就是抓包分析。
綜合而言,協議分析時要求比較高,很多人都可以說把基礎學好,但是對應實際工作多年的人,TCP/IP的協議學習一般都是多年前的事情,而且不同操作系統,對於協議棧的實現是有區別的,這部分析的工作一般都是出現問題後有針對性查資料來解決的。
說了這么多,針對抓包分析我個人的意見是:排查問題關鍵是思路,真的用到協議層判斷的場景相對而言還是比較少,初學這不必過分糾結。但是從另外一個方面來看,能深入協議層進行排錯的網工,都是具備鑽研精神的,屬於高級排錯的一部分。
問題五:怎麼通過wireshark分析 Wireshark 一般在抓包的時候無需過濾,直接在數據分析時候過濾出來你想要的數據就成了。
1.具體為Capture->Interface->(選擇你的網卡)start
這時候數據界面就顯示了當前網卡的所有數據和協議了。
2.下來就是找到我們想要的數據
教你一些技巧,比如我們要找ip地址為192.168.2.110的交互數據
可以在 Filter:裡面填寫 ip.addr == 192.168.2.110 (回車或者點Apply就OK)
如果我們只想抓TCP的 ip.addr == 192.168.2.110 && tcp (注意要小寫)
如果不想看到ACK ip.addr == 192.168.2.110 && tcp && tcp.len != 0
如果要看數據包中含有5252的值的數據(注意此處為16進制)
ip.addr == 192.168.2.110 && tcp && tcp.len != 0 && (data.data contains 5252)
3. 含有很多過濾方法可以點擊Express,裡面有一些選項,自己多試試。
用好一個工具很重要,但要長期的積累才行,自己多使用,多看點教程就OK。
問題六:wireshark軟體抓包數據怎麼查看 下載wireshark軟體,目前有中文版,為了方便演示,就用中文版的。當然,英文版本的是主流。
打開wireshark軟體,運行該軟體,進入其界面。wireshark軟體的界面布局合理,很精簡。
接下來,要選擇wireshark的抓包介面。雙擊介面列表項,於是進入了抓包介面的設置界面。
選擇你的電腦現在所使用的網卡。比如,現在這里是使用無線網卡,介面列表上有數字在跳動就是。
點擊開始,就進入到抓包的界面,於是開始進行抓包。該界面顯示了抓包的動態,記錄了抓包的過程。
抓包完成後,就點擊停止抓包的按鈕,就是紅色打叉的那個。
最後選擇保存按鈕,選擇保存的位置。保存的文件以後都可以用wireshark打開,來進行歷史性的分析。
問題七:如何查看抓包數據 對於標準的Http返回,如果標明了Content-Encoding:Gzip的返回,在wireshark中能夠直接查看原文。由於在移動網路開發中,一些移動網關會解壓顯式標明Gzip的數據,以防止手機瀏覽器得到不能夠解壓的Gzip內容,所以,很多移動開發者選擇了不標準的Http頭部。也就是說,Http返回頭部並沒有按標准標Content-Encoding:Gzip屬性。這樣就導致在wireshark中無法直接查看。
這時,將抓包得到的數據以raw形式存為文件,再使用UE以16進制查看,去掉文件中非Gzip壓縮的數據,就可以將文件用Gzip解壓工具解壓後查看原文了。Gzip數據以1F8B開頭,可以以此來劃分文件中的Gzip和非Gzip數據。
問題八:如何利用網路抓包工具得到的數據怎麼解析tcp/ip Telnet協議是TCP/IP協議族中的一員,是Internet遠程登陸服務的標准協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力。在終端使用者的電腦上使用telnet程序,用它連接到伺服器。終端使用者可以在telnet程序中輸入命令,這些命令會在伺服器上運行,就像直接在伺服器的控制台上輸入一樣。可以在本地就能控制伺服器。要開始一個telnet會話,必須輸入用戶名和密碼來登錄伺服器。Telnet是常用的遠程式控制制Web伺服器的方法。
一. 准備工作
虛擬機Virtual Box(Telnet服務端)
--安裝Windows XP SP3操作系統
------開啟了Telnet服務
------添加了一個賬戶用於遠程登錄,用戶名和密碼都是micooz
宿主機Windows 8.1 Pro(Telnet客戶端)
--安裝了分析工具Wireshark1.11.2
--安裝了Telnet客戶端程序
PS:虛擬機網卡選用橋接模式
問題九:wireshark軟體抓包數據怎麼查看 wireshark是捕獲機器上的某一塊網卡的網路包,當你的機器上有多塊網卡的時候,你需要選擇一個網卡。
點擊Caputre->Interfaces.. 出現下面對話框,選擇正確的網卡。然後點擊Start按鈕, 開始抓包
WireShark 主要分為這幾個界面
1. Display Filter(顯示過濾器), 用於過濾
2. Packet List Pane(封包列表), 顯示捕獲到的封包, 有源地址和目標地址,埠號。 顏色不同,代表
3. Packet Details Pane(封包詳細信息), 顯示封包中的欄位
4. Dissector Pane(16進制數據)
5. Miscellanous(地址欄,雜項)
問題十:wireshark完成抓包後,怎麼分析 你直接抓會有大量大量無用的干擾包(比如你的ARP請求,你電腦的其他軟體的後台更新等等),建議你做個過濾器,只抓取你本機到新浪的會話(或者只抓取HTTP協議),然後所得的數據包都是你想要的,這整個包就是從你發起訪問到新浪伺服器回復給你的數據包
⑺ 抓包發現數據包被加密 怎麼破解
用抓包軟體就可以看到數據包中的信息,但如果是加密了看到的只能是亂碼或十六進制數據。
⑻ Wireshark抓包以後如何查看哪個裡麵包含了密碼
隨便連接wifi熱點是很不安全,這里簡單地用360免費wifi創建一個wifi熱點,通過手機(李叢客戶端)連接,並用本機進行wireshark抓包分析客戶端請求的http協議。
http協議是明文傳輸的,但目前大部胡配分的網站對於用戶的帳號密碼也還是未經加密傳輸的。這里我拿學校的實驗預約系統進行測試。
1.在電腦上開啟360免費wifi(360安全衛士裡面帶著的,獵豹免費wifi都可以),沒有無線網卡的就別試了,:-(
2.開啟無線熱點:
3.在本機上安裝wireshark,並打開:
4.點擊工具欄第一個圖標,
列出可以抓包的設備:
5.這個版本用ipv6顯示的,我們需要確定是哪個網卡介面。
可以在網路連接裡面的詳情查看360wifi虛擬網卡的ipv6地址,也可以通過ipconfig命令來查看:
6.確定網路介面之後,點擊開始:
7.在過濾後的文本輸入控制項中,輸入http並點擊應用按鈕,過濾http協議的數據包:
8.打開手機連接上這個熱點,並通過瀏覽器訪問學校網站,然後用自己的帳號和密哪做櫻碼登錄:
不上圖了。。。。
9.在wireshark中,找到登錄時向伺服器發送帳號密碼的請求(一般是一個post請求):
從圖中我們可以看到帳號密碼都是未經過加密明文傳輸的,連接別人的無線熱點,上網還是要注意安全。
當然,即便是無線路由器的無線熱點,也是可以進行抓包分析的。
⑼ 用了SSL證書,如何抓包查看是否成功加密傳輸
1、如果網站已經增加了HTTPS,那麼您需要確定HTTP跳轉HTTPS,使用的是301方式跳轉,請勿使用302跳轉,這樣可以確保搜索引擎正常收錄。
2、正確使用HTTPS確保符合瀏覽器高標準的信任,這種情況下,國內網路搜索引擎,需要登陸網路站長去提交,提交支持HTTPS即可。
3、HTTPS抓包是與HTTP原理是一樣的,除非您的證書不備信任,那麼抓包也就無法訪唯純問了,所以證書很重要!
https抓包的原理就是抓包程序將伺服器返回的證書截獲 然後給客戶端返回一個它自己的證書 客戶端發送的數據抓包程序用自己的證書解密,然後再用截獲的證書加密,再發給伺服器 所以你在能看到明文。
密文是針對https兩端以外其他路徑而言,你作為https鏈接的兩端,當然可以源宏看到明文
技術一點來說,TLS協議是在tcp協議之上的,tcp又是基於IP協議的。所以無論如何,你的對端IP地址是肯定無法加密的。
換個角度來看,假如你把對端ip都加密了,路由器怎麼辦?你的數據根本無法在網路上轉發。另外TLS協議也只是把HTTP層的數據加密了,所以也只是無法看到HTTP傳輸的內容,但是雹山冊其他協議層的內容還是明文傳輸的。
⑽ 抓包工具(如Charles)抓取Https數據包
1、HTTPS 不是單獨的一個協議,它是 HTTP + SSL/TLS 的組合;
2、TLS 是傳輸層安全性協議,它會對傳輸的 HTTP 數據進行加密,使用非對稱加密和對稱加密的混合方式;
3、抓包工具的原理就是「偽裝「,對客戶端偽裝成伺服器,對伺服器偽裝成客戶端;
4、使用抓包工具抓 HTTPS 包必須要將抓包工具的證書安裝到客戶端本地,並設置信任;
5、HTTPS 數據只是在傳輸時進行了加密,而抓包工具是接收到數據後再重新加密轉發,所以抓包工具抓到的 HTTPS 包可以直接看到明文;
1、HTTPS 的數據是加密的,常規下抓包工具代理請求後抓到的包內容是加密狀態,無法直接查看。但是,正如前文所說,瀏覽器只會提示安全風險,如果用戶授權仍然可以繼續訪問網站,完成請求。因此,只要客戶端是我們自己的終端,我們授權的情況下,便可以組建中間人網路,而抓包工具便是作為中間人的代理。
2、通常HTTPS抓包工具的使用方法是會生成一個證書,用戶需要手動把證書安裝到客戶端中,然後終端發起的所有請求通過該證書完成與抓包工具的交互,然後抓包工具再轉發請求到伺服器,最後把伺服器返回的結果在控制台輸出後再返回給終端,從而完成整個請求的閉環。
HTTPS可以防止用戶在不知情的情況下通信鏈路被監聽,對於主動授信的抓包操作是不提供防護的,因為這個場景用戶是已經對風險知情。要防止被抓包,需要採用應用級的安全防護,例如採用私有的對稱加密,同時做好移動端的防反編譯加固,防止本地演算法被破解。