❶ 怎麼抓包阿握手包又是怎麼獲得的
只要打開抓包軟體,比如:科來、sniffer、wireshark等,直接開始就可以抓包了。
握手包又是怎麼獲得的? 你指的是TCP的握手包么?
如果是抓自己的數據包,在本機上裝上抓包軟體就行了。如果要是抓網路中的,則需要在相應的交換機上做鏡像就可以。
❷ WPE抓包發包,怎麼用
WPE抓包發包的用法:
打開wpe程序,然後執行游戲。
2.進入游戲後再按[Alt+Tab]跳出遊戲。
3.到wpe的窗口,這時你點選"SELECT GAME"裡面,會有一大串的東西。選最下面的那個,就是你正在玩的那個游戲。 (他上面所顯示的字並不是窗口名字,不同於普通修改器,所以別因為找不到名字就以為程序壞了)
4.再進入游戲,找個要測試的目標。
5. 接下來按下停止鍵,你會看到wpe中有著一堆數字.,前面還有"R"或"S",其中的"R"就是receive。也就是你從遠程主機接收到的訊息,這個部分並不是我們所要注意的。因為資料是存在遠程主機的,所以我們傳(也就是"S"-Sent)什麼過去遠程主機才是最重要的,這時候拿出你的紙筆,把那Sent的信息都抄下來。
❸ 區域網如何抓包
你是網路管理員嗎?你是不是有過這樣的經歷:在某一天的早上你突然發現網路性能急劇下降,網路服務不能正常提供,伺服器訪問速度極慢甚至不能訪問,網路交換機埠指示燈瘋狂地閃爍、網路出口處的路由器已經處於滿負荷的工作狀態、路由器CPU已經到了百分之百的負荷……重啟動後沒有幾分鍾現象又重新出現了。
這是什麼問題?設備壞了嗎?不可能幾台設備同時出問題。一定是有什麼大流量的數據文件,耗盡了網路設備的資源,它們是什麼?怎麼看到它們?這時有經驗的網管人員會想到用區域網抓包工具來分析一下。
你一定聽說過紅色代碼、Nimda、沖擊波以及震盪波這些臭名昭著的網路殺手。就是它們製造了上述種種惡行。它們來勢洶洶,阻塞網路、感染主機,讓網路管理員苦不堪言。當網路病毒出現時,如何才能及時發現染毒主機?下面我根據網路病毒都有掃描網路地址的特點,給大家介紹一個很實用的方法:用抓包工具尋找病毒源。
1.安裝抓包工具。目的就是用它分析網路數據包的內容。找一個免費的或者試用版的抓包工具並不難。我使用了一種叫做SpyNet3.12 的抓包工具,非常小巧, 運行的速度也很快。安裝完畢後我們就有了一台抓包主機。你可以通過SpyNet設置抓包的類型,比如是要捕獲IP包還是ARP包,還可以根據目的地址的不同,設置更詳細的過濾參數。
2.配置網路路由。你的路由器有預設網關嗎?如果有,指向了哪裡?在病毒爆發的時候把預設網關指向另外一台路由器是很危險的(除非你想搞癱這台路由器)。在一些企業網里往往僅指出網內地址段的路由,而不加預設路由,那麼就把預設路由指到抓包主機上吧(它不下地獄誰下地獄?當然這台主機的性能最好是高一點的,否則很容易被病毒沖擊而亡)。這樣可以讓那些病毒主機發出的絕大部分掃描都自動送上門來。或者把網路的出口映像到抓包主機上,所有對外訪問的網路包都會被分析到。
3.開始抓包。抓包主機已經設置好了,網路里的數據包也已經送過來了,那麼我們看看網路里傳輸的到底是些什麼。打開SpyNet 點擊Capture 你會看到好多的數據顯示出來,這些就是被捕獲的數據包(如圖)。
圖中的主體窗口裡顯示了抓包的情況。列出了抓到數據包的序號、時間、源目的MAC地址、源目的IP地址、協議類型、源目的埠號等內容。很容易看出IP地址為10.32.20.71的主機在極短的時間內向大量的不同主機發出了訪問請求,並且目的埠都是445。
4.找出染毒主機。從抓包的情況看,主機10.32.20.71值得懷疑。首先我們看一下目的IP地址,這些地址我們網路里存在嗎?很可能網路里根本就沒有這些網段。其次,正常情況下訪問主機有可能在這么短的時間里發起這么多的訪問請求嗎?在毫秒級的時間內發出幾十甚至幾百個連接請求,正常嗎?顯然這台10.32.20.71的主機肯定有問題。再了解一下Microsoft-DS協議,該協議存在拒絕服務攻擊的漏洞,連接埠是445,從而進一步證實了我們的判斷。這樣我們就很容易地找到了染毒主機的IP地址。剩下的工作就是給該主機操作系統打補丁殺病毒了。
既然抓到了病毒包,我們看一下這個數據包二進制的解碼內容:
這些數據包的長度都是62個位元組。數據包前12個位元組包括了目的MAC和源MAC的地址信息,緊跟著的2位元組指出了數據包的類型,0800代表的是IP包格式,0806代表ARP包格式。接著的20個位元組是封裝的IP包頭,包括了源、目的IP地址、IP版本號等信息。剩下的28個位元組封裝的是TCP包頭,包括了源、目的埠,TCP鏈接的狀態信息等。這就構成了一個62位元組的包。可以看出除了這些包頭數據之外,這個包沒有攜帶其他任何的有效數據負荷,所以這是一個TCP要求445埠同步的空包,也就是病毒主機在掃描445埠。一旦染毒主機同步上沒有採取防護措施的主機445埠,便會利用系統漏洞傳播感染。
❹ 如何在遠程伺服器上抓包
你的意思是說在windows上運行sniffer程序抓linux伺服器上的包? 這個功能不是wireshark這類sniffer能做到的,首先要保證你linux伺服器上的包能同時發到windows的機器上,可以通過在交換機上設置來實現。如果對實時性要求不是那麼高的話,也可以在linux上用tcpmp將流量保存到本地文件,再拿到windows上分析。
❺ 客戶端如何讀取伺服器發送的數據
一般來講是客戶端向伺服器發送服務請求,伺服器根據客戶端所發送的服務請求給客戶端發數據。這里包括網路協議和服務認證。你可以再網上下載抓包工具來讀取發送服務請求和返回服務請求的結果。 數據都是二進制、八進制和十六進制相互轉換封包來進行發送的。客戶端向伺服器發送一個請求,客戶端會對該請求認證來確定是否合法。合法則會將數據封包加密反饋給客戶端,客戶端則得到請求結果。具體你可查一些有關網路服務的資料。
❻ 四大網路抓包神器,總有一款適合你~
無論是開發還是測試,在工作中經常會遇到需要抓包的時候。本篇文章 主要介紹如何在各個平台下,高效的抓包。
目前的抓包軟體總體可以分為兩類:
一種是設置代理抓取http包,比如Charles、mitmproxy這些軟體。
另一種是直接抓取經過網卡的所有協議包,其中最出名就是大名鼎鼎的wireshark以及linux自帶的抓包軟體tcpmp。
下面重點介紹一下這四個抓包工具的特點以及使用。
wireshark想必大多數程序員都不會陌生。wireshark在各個平台都可以安裝使用,它 可以抓取經過指定網卡的所有協議。 wireshark雖然很強大,但是對初學者其實不是很友好。
這也正是由於它太強大,它可以抓取所有包,所以初學者在使用時面對茫茫數據流不知所措。初學者需要認真的去學習怎麼過濾得到自己感興趣的包,但是如果不熟悉wireshark的過濾語法,要過濾數據包將舉步維艱。
過濾語法簡單介紹
wireshark的過濾語法總結起來其實也很簡單,就是 以協議開頭,後面可以跟著協議的屬性,然後加上一些判斷符號, 比如contains、==、>、<等等。比如只想展示http的協議內容,則直接在過濾器輸入框中輸入http即可。
如下圖:
比如我 只想看http協議的請求頭中uri包含』/api』的協議,就可以這么寫:
如果想通過目標ip或者來源ip來過濾包,就不可以以http協議為前綴了,因為這些是ip協議的相關屬性。 通過目標ip來過濾可以這么寫:
上面表示目標機器的ip是61.135.217.100並且協議是http的包。
wireshark支持很多種協議,我們可以通過右上角的expression來打開搜索支持的協議,還可以找出協議支持的屬性,然後填入期待的值,軟體會自動為我們構建過濾語句。
優點:
功能強大,可以抓取所有協議的包
抓到的包容易分析
缺點:
由於線上伺服器沒有GUI,只有命令行,因此無法在線上伺服器使用
無法分析https數據包,由於wireshark是在鏈路層獲取的數據包信息,所以獲取到的https包是加密後的數據,因此無法分析包內容。當然,我們可以對https數據包進行解密, 但是操作具有一定的復雜度,可能要消耗很多時間。
tcpmp是linux上自帶的一個抓包軟體(mac也有),功能強大,也可以抓取經過指定網卡的所有協議包。
由於是命令行工具,tcpmp抓取到的包不易於分析,一個常見的做法是將tcpmp抓到的包輸出到某個文件,然後將文件拷貝下來用wireshark分析。
一些簡單的過濾參數:
抓包內容輸出到文件:
之後我們可以把test.cap直接用wireshark打開,就可以很直觀的分析包了。
用tcpmp輸出cap文件包:
tcpmp-r test.cap
Charles是一款http抓包工具,它是通過代理來實現的抓包。也就是我們在訪問網頁時需要配置代理,將代理指向Charles監聽的埠,之後我們的http請求都會發向Charles的埠,之後Charles會幫我們轉發並記錄協議內容。
Charles的使用非常簡單,配置好代理後,Charles就開始抓包了。
我們可以直接通過Charles的GUi查看包的內容:
上圖中的unknown表示https加密後的數據,所以看到不協議的具體內容。我們可以通過安裝Charles的證書,讓Charles也可以查看https協議的具體內容。
優點 :
使用簡單,只需配置一下代理地址就可以
要抓取https協議的配置也很簡單,只要安裝下charles的證書就可以了
mitmproxy是python寫的一款http抓包工具,雖然只支持http抓包,但是它的特性非常強大,它不僅可以抓包,還可以對請求進行攔截、重現等操作。和Charles一樣,它的原理也是基於代理,使用的時候需要設置代理指向它。
mitmproxy是命令行工具,但是也自帶了mitmweb工具,可以讓用戶在網頁上操作。另外,mitmproxy還支持用戶自行編寫插件,可以編寫腳本對請求進行處理,然後把修改後的請求發出去。
1、安裝
首先需要在機器安裝python3以及pip3.之後通過pip3安裝
pip3 install mitmproxy
如果安裝mitmproxy過程中報錯MoleNotFoundError: No mole named '_ssl',就需要安裝一下OpenSSL,然後再重新編譯安裝一下python3。
安裝好openSSL後再執行pip3 install mitmproxy
2、使用
安裝後,直接在命令行輸入mitmproxy就會進入它的交互界面:
這時候mitmproxy已經開始監聽8080埠(默認),接著,我們可以去瀏覽器設置代理。瀏覽器設置代理的方式有很多,這里不多做介紹。
設置完代理後,訪問瀏覽器的請求都會被發到mitmproxy上,mitmproxy根據規則對請求進行攔截(不配置攔截規則的話則都不攔截),所有經過的請求都會被輸出:
在交互界面上可以通過快捷鍵操作請求。輸入問號』?』,可以查看快捷鍵的文檔。
3、下面介紹一些常用的快捷鍵和功能
① 請求過濾
在請求列表交互界面,按下f鍵後,可以輸入一些過濾規則:
具體的過濾語法可以按下』?『鍵後,再按下方向鍵右』—>』或者l鍵。
② 請求攔截
按下i鍵後,可以對指定的請求進行攔截。按mitmproxy收到指定條件的請求時,不會立馬把它轉發出去,而是等待我們執行resume操作後,才會把請求轉發出去——在這期間我們甚至可以對請求進行手動修改。
紅色字體表示該請求被攔截,之後我們可以按入a鍵來恢復該請求,可以輸入A鍵恢復所有被攔截的請求。
③ 查看/編輯請求
把指示游標移動到某個請求上,按回車可以查看請求的內容。或者滑鼠直接點擊請求也可以。
之後通過左右方向鍵可以查看request、response、detail等信息。
如果要編輯請求,可以在這個界面輸入e,然後會讓我們選擇編輯哪塊內容:
之後就會進入vim編輯界面編輯相應的內容了(保存後會生效)。
④ 重發請求
mitmproxy的游標指向某個請求時,按下r鍵可以重發這個請求(重發前可以對該請求進行編輯)。
按下』:』鍵後,可以輸入命令,這樣我們就可以通過過濾規則批量的重發請求
replay.client是mitmproxy內置的一個命令,我們也可以自行編寫命令。命令的編寫可以參考官網文檔,這里不做介紹。
⑤ 插件開發
我們可以編寫插件,然後再啟動的時候指定插件,mitmproxy處理請求的時候會執行一個插件的鏈,這樣我們就可以對請求進行編輯然後再發送出去了。
借用官網的插件demo:
這個方法對每一個請求進行處理,然後列印序號。通過mitmproxy -s test.py來讓插件生效。通過插件可以綁定各種連接事件。感興趣的朋友可以自行去mitmproxy官網看文檔,這里不多做介紹。
⑥ 保存抓到的請求數據
通過w快捷鍵我們可以把這次抓到的請求包保存到文件上。
通過mitmproxy -r file可以讀取以前抓取的請求信息進行分析。
優點:
命令行操作,可以在無GUI界面的伺服器上使用
對於這幾個抓包神器,我總結了下使用場景:
只抓http協議的話:
推薦使用mitmproxy。mitmproxy豐富的功能不僅可以滿足我們的抓包需求,還可以提升我們的工作效率。比如測試可以抓包後一鍵重發請求來重現bug,開發調試的時候可以修改請求內容等等。
如果是在線上的沒有GUI的伺服器:
推薦使用tcpmp,雖然mitmproxy也可以支持命令行抓包,但是生產環境的伺服器最好不要亂安裝第三方插件。另外,大多數伺服器都有裝tcpmp。我們可以通過把請求的內容輸出到文件,然後拷貝會自己的電腦用wireshark分析。
想要抓取http以外的協議的話:
直接上wireshark。功能強大。對於Charles,感覺用了mitmproxy之後,就基本用不上Charles了。Charles好像也可以編輯後再發送,但是感覺不是很好用,可能我用的不是很熟吧。
❼ 怎麼截獲一個特定網站發來的數據包
網上有很多抓包的工具,印象中WAP很不錯,我接觸了一點點。
❽ 求怎麼截讀伺服器發給客戶端的數據包,詳細點
如何根據截獲客戶端和伺服器數據包
參考:http://bbs.csdn.net/topics/200012522
❾ 這種情況下科來抓包怎麼用
從交換機上抓,再一個網關上開啟日誌,記錄所有上網的日誌慢慢看,還有啊是不是p2p流量擁堵,arp欺騙之類
❿ 抓包工具(如Charles)抓取Https數據包
1、HTTPS 不是單獨的一個協議,它是 HTTP + SSL/TLS 的組合;
2、TLS 是傳輸層安全性協議,它會對傳輸的 HTTP 數據進行加密,使用非對稱加密和對稱加密的混合方式;
3、抓包工具的原理就是「偽裝「,對客戶端偽裝成伺服器,對伺服器偽裝成客戶端;
4、使用抓包工具抓 HTTPS 包必須要將抓包工具的證書安裝到客戶端本地,並設置信任;
5、HTTPS 數據只是在傳輸時進行了加密,而抓包工具是接收到數據後再重新加密轉發,所以抓包工具抓到的 HTTPS 包可以直接看到明文;
1、HTTPS 的數據是加密的,常規下抓包工具代理請求後抓到的包內容是加密狀態,無法直接查看。但是,正如前文所說,瀏覽器只會提示安全風險,如果用戶授權仍然可以繼續訪問網站,完成請求。因此,只要客戶端是我們自己的終端,我們授權的情況下,便可以組建中間人網路,而抓包工具便是作為中間人的代理。
2、通常HTTPS抓包工具的使用方法是會生成一個證書,用戶需要手動把證書安裝到客戶端中,然後終端發起的所有請求通過該證書完成與抓包工具的交互,然後抓包工具再轉發請求到伺服器,最後把伺服器返回的結果在控制台輸出後再返回給終端,從而完成整個請求的閉環。
HTTPS可以防止用戶在不知情的情況下通信鏈路被監聽,對於主動授信的抓包操作是不提供防護的,因為這個場景用戶是已經對風險知情。要防止被抓包,需要採用應用級的安全防護,例如採用私有的對稱加密,同時做好移動端的防反編譯加固,防止本地演算法被破解。