怎么看抓包加密类型

⑴ 抓包抓下来的东西看不懂，是不是加密了

抓包的内容一般是不加密的，也有加密的，但是一般协议头是不会加密的，数据包内容可能会加密，例如https的

⑵ 我用wireshark抓了一个包，不知道怎么看

以太网帧头：目的mac+源mac+报文类型。对应ip包而言，轿蚂报文类型是0800，所以0800是以太网帧头的做扒结尾部分
IP报文头：大部分都是以4500开头的，4表纯帆昌示ipv4版本，5表示IP头长度是5个LW（20bytes），00是用来表示报文优先级的。可以通过找4500来确定ip头的起始位置
http协议报文的每一行要以回车和换行结束，回车和换行缓存ASCII码就是0d0a，所以可以通过0d0a来判断这是一行http内容的结尾。
楼主贴出的报文内容已0d0a结尾，应该是属于http内容。
要想查看以太网帧头和ip头的话，应该去更前面的报文内容中找

⑶ charles中https怎么是锁的类型

加密类型。https是加密的，Charles需要配置证书才可以抓包。Charles其实是一款没野代理服务器，通过成为电脑或者浏览器的代理，然后截取请求和请求闭陆结果达到分枯态喊析抓包的目的。

⑷ 用抓包工具怎么看数据是加密的

tcpmp -i +网口 tcp port +端口 and host +IP地址 -s 1024 -w mt_sms.cap

⑸ 如何用Wireshark查看HTTPS消息里的加密内容

大师在应用Tomcat等办事器设备成HTTPS（基于TLS/SSL）后，调试时往往须要用Wireshark去抓包，并欲望查看此中的HTTP 消息。然则HTTPS的通信纯困是加密的，所以默认景象下你只能看到HTTPS在建树连接之初的交互证书和协商的几个消息罢了，真正的营业数据（HTTP消息）是被加密的，你必须借助办事器密钥（私钥）才干查看。即使在HTTPS双向认证（办事器验证客户端证书）的景象下，你也只须要办事器私钥就可以查看 HTTPS消息里的加密内容。
1. 设备Wireshark
选中Wireshark主菜单Edit->Preferences，将打开一个设备窗口；窗口左侧是一棵树（目次），你打开此中的 Protocols，将列出所有Wireshark支撑的和谈；在此中找到SSL并选中，右边窗口里将列出几个参数，此中“RSA keys list”即用于设备办事器私钥。该设备的格局为：
，，，
各字段的含义为：
---- 办事器IP地址（对于HTTPS即为WEB办事器）。
---- SSL的端口（HTTPS的端口，如443，8443）。
---- 办事器密钥文件，文件里的私钥必须是明文（没有暗码保护的格局）。
例如： 192.168.1.1，8443，http，C:/myserverkey/serverkey.pem
若你想设置多组如许的设备穗裤梁，可以用分号隔开，如：
192.168.1.1，8443，http，C:/myserverkey/clearkey.pem;10.10.1.2，443，http，C:/myserverkey/clearkey2.pem
2. 导出办事器密钥（私钥）的明文格局（猜运即前面提到的）
openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem /
-outform PEM -subj "/O=ABCom/OU=servers/CN=servername"M
并且你的办事器私钥文件serverkey.pem还在，则可以如许导出办事器私钥明文文件：
openssl rsa -in serverkey.pem > clearkey.pem
履行号令式须要输入私钥的保护暗码就可以获得私钥明文文件clearkey.pem了。
（2）若你已把serverkey.pem丢了，但还有pkcs12格局的办事器证书库文件，该文件当初用类似于以下号令生成的：
openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem /
-out tomcat.p12 -name tomcat -CAfile "￥HOME/testca/cacert.pem" /
-caname root -chain
则，你可以用下面号令把办事器私钥从tomcat.p12（pkcs12格局）文件里导出来：
openssl pkcs12 -in tomcat.p12 -nocerts -nodes -out clearkey.pem
履行号令式须要输入pkcs12的保护暗码。
然后编辑一下生成的clearkey.pem文件，把“-----BEGIN RSA PRIVATE KEY-----”之前的内容删掉就可以了。

⑹ 抓包怎么分析数据

问题一：抓包抓到的数据，怎么分析啊 5分 1, 取决于你抓包的层级。一般来说都是与网站之间交换的，未经格式化的较为数据。
2, 可以从网卡抓取本机收发的数据，也有人把从浏览器或其它工作在顶层的软件获得的数据，成为抓包。
3, 如果你所在的局域网比较原始，你还是可以尝试从网卡中获得广播的数据。
4, 分析有现成的软件，主要针对无法加密的部分展开，即发送、接受方地址、时间、路径、内容体积等进行。不涉及内容的情况下是典型的被动数据分析。

问题二：如何解析抓包的数据wireshark 首先我们打开wireshark软件的主界面，在主界面上选择网卡，然后点击start。wireshark即进入抓包分析过程。在本篇我们选择以太网，进行抓包。
接下来再界面我们可以看到wireshark抓到的实时数据包。我们对数据包的各个字段进行解释。
1.No:代表数据包标号。
2.Time：在软件启动的多长时间内抓到。
3.Source：来源ip。
4.Destination: 目的ip。
5.Protocol：协议。
6.Length:数据包长度。
7.info：数据包信息。
接下来我们点击解析后的某一条数据可以查看数据包的详细信息。
在抓包过程中，我们可以点击图标启动或者停止。来启动或者停止抓取数据包。
接下来我们将简单介绍Filter处，对来源Ip以及目的Ip的过滤表达式的写法。
首先我们在Filter处填写ip.addr eq 192.168.2.101。表示获取来源ip以及目的ip都是192.168.2.101的数据包。（此处解释 eq 换成==同样的效果）
在Filter处填写：ip.src == 192.168.2.101。表示获取来源地址为192.168.2.101的数据包。
在Filter处填写:ip.dst == 119.167.140.103。表示获取目的地址为119.167.140.103的数据包。
在Filter处填写:ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45。表示获取目的地址为119.167.140.103或者192.168.2.45的数据包。（此方法举例主要说明or的用法。在or前后可以跟不同的表达式。）
在Filter处填写:ip.dst == 119.167.140.103 and ip.src == 192.168.2.101。表示获取目的地址为119.167.140.103且来源地址为192.168.2.101的数据包。（此方法举例主要说明and 的用法）

问题三：怎样看wireshark抓包的数据 启动wireshark后，选择工具栏中的快捷键（红色标记的按钮）即可Start a new live capture。
主界面上也有一个interface list（如下图红色标记1），列出了系统中安装的网卡，选择其中一个可以接收数据的的网卡也可以开始抓包。
在启动时候也许会遇到这样的问题：弹出一个对话框说 NPF driver 没有启动，无法抓包。在win7或Vista下找到如禅谨C: \system\system32下的cmd.exe 以管理员身份运行，然后输入 net start npf，启动NPf服务。
重新启动wireshark就可以抓包了。
抓包之前也可以做一些设置，如上红色图标记2，点击后进入设置对话框，具体设置如下：
Interface：指定在哪个接口（网卡）上抓包（系统会自动选择一块网卡）。
Limit each packet：限制每个包的大小，缺省情况不限制。
Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓 取所有的数据包。一般情况下只需要监听本机收到或者发出的袭掘包，因此应该关闭这个选项。
Filter：过滤器。只抓取满足过滤规则的包。
File：可输入文件名称将抓到的包写到指定的文件中。
Use ring buffer： 是否使用循环缓冲。缺省情况下不使用，即一直抓包。循环缓冲只有在写文件的时候才有效。如果使用了循环缓渣基冲，还需要设置文件的数目，文件多大时回卷。
Update list of packets in real time：如果复选框被选中，可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有截获的数据包。
单击“OK”按钮开始抓包，系统显示出接收的不同数据包的统计信息，单击“Stop”按钮停止抓包后，所抓包的分析结果显示在面板中，如下图所示：
为了使抓取的包更有针对性，在抓包之前，开启了QQ的视频聊天，因为QQ视频所使用的是UDP协议，所以抓取的包大部分是采用UDP协议的包。
3、对抓包结果的说明
wireshark的抓包结果整个窗口被分成三部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。
使用wireshark可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、所属协议等。
上图的数据包列表中，第一列是编号（如第1个包），第二列是截取时间（0.000000），第三列source是源地址（115.155.39.93），第四列destination是目的地址（115.155.39.112），第五列protocol是这个包使用的协议（这里是UDP协议），第六列info是一些其它的信息，包括源端口号和目的端口号（源端口：58459，目的端口：54062）。
中间的是协议树，如下图：
通过此协议树可以得到被截获数据包的更多信息，如主机的MAC地址（Ethernet II）、IP地址（Internet protocol）、UDP端口号（user datagram protocol）以及UDP协议的具体内容（data）。
最下面是以十六进制显示的数据包的具体内容，如图：
这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便的对各种协议的数据包进行分析。
4、......>>

问题四：如何分析数据包判断网络故障 从网络抓包是可以分析出很多东西，其中一项就是用来做排错。
根据个人的实际经验，用抓包来排错有分为几种情况：
1、通过数据包的有无来判断故障，一般用于防火墙策略调试等场景，在防火墙上进行抓包，或交换机上镜像抓包，或者这交换机内嵌抓包功能。这种抓包无需进行过多分析。
2、网络故障，已经明确网络设备配置不存在问题的情况下，通过抓包来判断问题，我把这主要分为行为判断和协议判断。
1）最常见的是通过抓包数量来判定网络行为的是否正常，比如ARP病毒爆发一定会收到大量ARP数据包；攻击行为也很多时候体现为大量数据包（但是一般判断这种攻击行为抓包不会放在第一步，只是在确定攻击特征时需要抓包）；当然还有其他很多情况，适用于通过抓包数量来分析的。
2）通信质量判断，抓包存在大量的重传，此时通信质量一般都不太好。另外有视频和语音的应用场景中，有时需要通过时间统计来判断通信毛刺，来分析定位视频和语音通信质量问题。
3）协议判断，比如win2008和win2003通信时因为window
scale不兼容，导致窗口过小，而程序设计适当时，通信变动极其缓慢。这些判断都是建立在抓包协议分析的基础上的；另外不同厂商SIP通信对接也有可能会用到协议分析，其中一种方式就是抓包分析。
综合而言，协议分析时要求比较高，很多人都可以说把基础学好，但是对应实际工作多年的人，TCP/IP的协议学习一般都是多年前的事情，而且不同操作系统，对于协议栈的实现是有区别的，这部分析的工作一般都是出现问题后有针对性查资料来解决的。
说了这么多，针对抓包分析我个人的意见是：排查问题关键是思路，真的用到协议层判断的场景相对而言还是比较少，初学这不必过分纠结。但是从另外一个方面来看，能深入协议层进行排错的网工，都是具备钻研精神的，属于高级排错的一部分。

问题五：怎么通过wireshark分析 Wireshark 一般在抓包的时候无需过滤，直接在数据分析时候过滤出来你想要的数据就成了。
1.具体为Capture->Interface->(选择你的网卡)start
这时候数据界面就显示了当前网卡的所有数据和协议了。
2.下来就是找到我们想要的数据
教你一些技巧，比如我们要找ip地址为192.168.2.110的交互数据
可以在 Filter:里面填写 ip.addr == 192.168.2.110 （回车或者点Apply就OK）
如果我们只想抓TCP的 ip.addr == 192.168.2.110 && tcp (注意要小写)
如果不想看到ACK ip.addr == 192.168.2.110 && tcp && tcp.len != 0
如果要看数据包中含有5252的值的数据（注意此处为16进制）
ip.addr == 192.168.2.110 && tcp && tcp.len != 0 && (data.data contains 5252)
3. 含有很多过滤方法可以点击Express，里面有一些选项，自己多试试。
用好一个工具很重要，但要长期的积累才行，自己多使用，多看点教程就OK。

问题六：wireshark软件抓包数据怎么查看 下载wireshark软件，目前有中文版，为了方便演示，就用中文版的。当然，英文版本的是主流。
打开wireshark软件，运行该软件，进入其界面。wireshark软件的界面布局合理，很精简。
接下来，要选择wireshark的抓包接口。双击接口列表项，于是进入了抓包接口的设置界面。
选择你的电脑现在所使用的网卡。比如，现在这里是使用无线网卡，接口列表上有数字在跳动就是。
点击开始，就进入到抓包的界面，于是开始进行抓包。该界面显示了抓包的动态，记录了抓包的过程。
抓包完成后，就点击停止抓包的按钮，就是红色打叉的那个。
最后选择保存按钮，选择保存的位置。保存的文件以后都可以用wireshark打开，来进行历史性的分析。

问题七：如何查看抓包数据 对于标准的Http返回，如果标明了Content-Encoding:Gzip的返回，在wireshark中能够直接查看原文。由于在移动网络开发中，一些移动网关会解压显式标明Gzip的数据，以防止手机浏览器得到不能够解压的Gzip内容，所以，很多移动开发者选择了不标准的Http头部。也就是说，Http返回头部并没有按标准标Content-Encoding:Gzip属性。这样就导致在wireshark中无法直接查看。
这时，将抓包得到的数据以raw形式存为文件，再使用UE以16进制查看，去掉文件中非Gzip压缩的数据，就可以将文件用Gzip解压工具解压后查看原文了。Gzip数据以1F8B开头，可以以此来划分文件中的Gzip和非Gzip数据。

问题八：如何利用网络抓包工具得到的数据怎么解析tcp/ip Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。
一. 准备工作
虚拟机Virtual Box(Telnet服务端)
--安装Windows XP SP3操作系统
------开启了Telnet服务
------添加了一个账户用于远程登录,用户名和密码都是micooz
宿主机Windows 8.1 Pro(Telnet客户端)
--安装了分析工具Wireshark1.11.2
--安装了Telnet客户端程序
PS:虚拟机网卡选用桥接模式

问题九：wireshark软件抓包数据怎么查看 wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。
点击Caputre->Interfaces.. 出现下面对话框，选择正确的网卡。然后点击Start按钮, 开始抓包
WireShark 主要分为这几个界面
1. Display Filter(显示过滤器)， 用于过滤
2. Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表
3. Packet Details Pane(封包详细信息), 显示封包中的字段
4. Dissector Pane(16进制数据)
5. Miscellanous(地址栏，杂项)

问题十：wireshark完成抓包后，怎么分析 你直接抓会有大量大量无用的干扰包（比如你的ARP请求，你电脑的其他软件的后台更新等等），建议你做个过滤器，只抓取你本机到新浪的会话（或者只抓取HTTP协议），然后所得的数据包都是你想要的，这整个包就是从你发起访问到新浪服务器回复给你的数据包

⑺ 抓包发现数据包被加密 怎么破解

用抓包软件就可以看到数据包中的信息，但如果是加密了看到的只能是乱码或十六进制数据。

⑻ Wireshark抓包以后如何查看哪个里面包含了密码

随便连接wifi热点是很不安全，这里简单地用360免费wifi创建一个wifi热点，通过手机（李丛客户端）连接，并用本机进行wireshark抓包分析客户端请求的http协议。
http协议是明文传输的，但目前大部胡配分的网站对于用户的帐号密码也还是未经加密传输的。这里我拿学校的实验预约系统进行测试。
1.在电脑上开启360免费wifi(360安全卫士里面带着的，猎豹免费wifi都可以)，没有无线网卡的就别试了，:-(

2.开启无线热点：

3.在本机上安装wireshark，并打开：

4.点击工具栏第一个图标，

列出可以抓包的设备：

5.这个版本用ipv6显示的，我们需要确定是哪个网卡接口。
可以在网络连接里面的详情查看360wifi虚拟网卡的ipv6地址，也可以通过ipconfig命令来查看：

6.确定网络接口之后，点击开始：

7.在过滤后的文本输入控件中，输入http并点击应用按钮，过滤http协议的数据包：

8.打开手机连接上这个热点，并通过浏览器访问学校网站，然后用自己的帐号和密哪做樱码登录：
不上图了。。。。
9.在wireshark中，找到登录时向服务器发送帐号密码的请求（一般是一个post请求）：

从图中我们可以看到帐号密码都是未经过加密明文传输的，连接别人的无线热点，上网还是要注意安全。
当然，即便是无线路由器的无线热点，也是可以进行抓包分析的。

⑼ 用了SSL证书，如何抓包查看是否成功加密传输

1、如果网站已经增加了HTTPS，那么您需要确定HTTP跳转HTTPS，使用的是301方式跳转，请勿使用302跳转，这样可以确保搜索引擎正常收录。
2、正确使用HTTPS确保符合浏览器高标准的信任，这种情况下，国内网络搜索引擎，需要登陆网络站长去提交，提交支持HTTPS即可。
3、HTTPS抓包是与HTTP原理是一样的，除非您的证书不备信任，那么抓包也就无法访唯纯问了，所以证书很重要！
https抓包的原理就是抓包程序将服务器返回的证书截获 然后给客户端返回一个它自己的证书 客户端发送的数据抓包程序用自己的证书解密，然后再用截获的证书加密，再发给服务器 所以你在能看到明文。
密文是针对https两端以外其他路径而言，你作为https链接的两端，当然可以源宏看到明文
技术一点来说，TLS协议是在tcp协议之上的，tcp又是基于IP协议的。所以无论如何，你的对端IP地址是肯定无法加密的。
换个角度来看，假如你把对端ip都加密了，路由器怎么办？你的数据根本无法在网络上转发。另外TLS协议也只是把HTTP层的数据加密了，所以也只是无法看到HTTP传输的内容，但是雹山册其他协议层的内容还是明文传输的。

⑽ 抓包工具（如Charles）抓取Https数据包

1、HTTPS 不是单独的一个协议，它是 HTTP + SSL/TLS 的组合；

2、TLS 是传输层安全性协议，它会对传输的 HTTP 数据进行加密，使用非对称加密和对称加密的混合方式；

3、抓包工具的原理就是“伪装“，对客户端伪装成服务器，对服务器伪装成客户端；

4、使用抓包工具抓 HTTPS 包必须要将抓包工具的证书安装到客户端本地，并设置信任；

5、HTTPS 数据只是在传输时进行了加密，而抓包工具是接收到数据后再重新加密转发，所以抓包工具抓到的 HTTPS 包可以直接看到明文；

1、HTTPS 的数据是加密的，常规下抓包工具代理请求后抓到的包内容是加密状态，无法直接查看。但是，正如前文所说，浏览器只会提示安全风险，如果用户授权仍然可以继续访问网站，完成请求。因此，只要客户端是我们自己的终端，我们授权的情况下，便可以组建中间人网络，而抓包工具便是作为中间人的代理。

2、通常HTTPS抓包工具的使用方法是会生成一个证书，用户需要手动把证书安装到客户端中，然后终端发起的所有请求通过该证书完成与抓包工具的交互，然后抓包工具再转发请求到服务器，最后把服务器返回的结果在控制台输出后再返回给终端，从而完成整个请求的闭环。

HTTPS可以防止用户在不知情的情况下通信链路被监听，对于主动授信的抓包操作是不提供防护的，因为这个场景用户是已经对风险知情。要防止被抓包，需要采用应用级的安全防护，例如采用私有的对称加密，同时做好移动端的防反编译加固，防止本地算法被破解。