在之前的文章里講到過(guò)網(wǎng)絡(luò)通信原理、網(wǎng)絡(luò)協(xié)議端口、漏洞掃描等網(wǎng)絡(luò)相關(guān)知識(shí)，很多網(wǎng)友看到這些文章以后都說(shuō)寫(xiě)的不錯(cuò)，但是閱讀后感覺(jué)還是做不到深刻理解，今天我就教大家一個(gè)工具，有了這個(gè)工具，你就可以驗(yàn)證之前學(xué)習(xí)過(guò)的網(wǎng)絡(luò)知識(shí)了。"這是一個(gè)什么工具呢？這么神奇"其實(shí)我相信大家很多人都聽(tīng)說(shuō)過(guò)或者使用過(guò)，而且這個(gè)工具也是黑客或者從事網(wǎng)絡(luò)工程的工作者必用的工具，它就是"網(wǎng)絡(luò)抓包工具"。

[[251090]]

今天我們就詳細(xì)介紹一下網(wǎng)絡(luò)抓包的目的是什么？常用的網(wǎng)絡(luò)抓包工具有哪些？網(wǎng)絡(luò)抓包工具的使用方法和技巧！

一、 網(wǎng)絡(luò)抓包目的是什么？

官方定義：抓包（packet capture）就是將發(fā)送與接收的進(jìn)行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作，也用來(lái)檢查網(wǎng)絡(luò)安全。抓包也經(jīng)常被用來(lái)進(jìn)行數(shù)據(jù)截取等。

對(duì)于白帽子黑客來(lái)說(shuō)抓包的目的就是分析網(wǎng)絡(luò)報(bào)文、定位網(wǎng)絡(luò)接口問(wèn)題、分析應(yīng)用數(shù)據(jù)接口、學(xué)習(xí)網(wǎng)絡(luò)協(xié)議，使用抓包工具可以直觀的分析出網(wǎng)絡(luò)數(shù)據(jù) 。

對(duì)于黑帽子黑客來(lái)說(shuō)抓包的目的就更明確了，就是為了尋找漏洞了，黑客首先通過(guò)抓包截獲數(shù)據(jù)，提取有價(jià)值數(shù)據(jù)例如數(shù)據(jù)包里的賬號(hào)密碼、數(shù)據(jù)包里的應(yīng)用信息。截獲這些數(shù)據(jù)后可以重新編輯，更改里邊的價(jià)值信息再轉(zhuǎn)存回去，例如新聞曝光過(guò)上海警方就破獲了一起特大網(wǎng)絡(luò)盜竊案，僅僅在半天的時(shí)間里，黑客就非法體現(xiàn)金額高達(dá)千萬(wàn)，為什么黑客會(huì)在這么短的時(shí)間里就能非法提現(xiàn)這么多錢(qián)呢？原來(lái)，黑客尋找到了某理財(cái)APP的系統(tǒng)漏洞，利用網(wǎng)絡(luò)抓包的形式非法修改APP傳給后臺(tái)的數(shù)據(jù)信息，比如黑客充值1元，利用抓包，把1元改為1000或者更高的數(shù)據(jù)傳給服務(wù)器，實(shí)際他只充值了1元而已，傳給服務(wù)器的數(shù)據(jù)被惡意修改過(guò)。

這里還是需要提醒小伙伴們一次，咱們學(xué)習(xí)的目的一定是為了掌握這門(mén)技術(shù)，去更好的服務(wù)于生活，為社會(huì)能夠創(chuàng)造正向價(jià)值，千萬(wàn)不要走偏往犯罪的道路前行。

二、常用的網(wǎng)絡(luò)抓包工具有哪些？

1、Wireshark

Wireshark 在Windows、mac、linux都有自己的版本，可謂圖形化抓包軟件的最為流行的一種，針對(duì)黑客，網(wǎng)絡(luò)管理員和安全工作者都是必備之物。

網(wǎng)絡(luò)管理員使用Wireshark來(lái)檢測(cè)網(wǎng)絡(luò)問(wèn)題，網(wǎng)絡(luò)安全工程師使用Wireshark來(lái)檢查資訊安全相關(guān)問(wèn)題，開(kāi)發(fā)者使用Wireshark來(lái)為新的通訊協(xié)定除錯(cuò)，普通使用者使用Wireshark來(lái)學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識(shí)。

2、tcpdump

tcpdump 可以抓所有層的數(shù)據(jù)，功能十分強(qiáng)大，tcpdump Linux作為網(wǎng)絡(luò)服務(wù)器，特別是作為路由器和網(wǎng)關(guān)時(shí)，數(shù)據(jù)的采集和分析是不可少的。TcpDump是Linux中強(qiáng)大的網(wǎng)絡(luò)數(shù)據(jù)采集分析工具之一。用簡(jiǎn)單的話來(lái)定義tcpdump，就是：dump the traffic on a network，根據(jù)使用者的定義對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行截獲的包分析工具。作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具，tcpdump以其強(qiáng)大的功能，靈活的截取策略，成為每個(gè)高級(jí)的系統(tǒng)管理員分析網(wǎng)絡(luò)，排查問(wèn)題等所必備的工具之一。

3、httpwatch

HttpWatch是強(qiáng)大的網(wǎng)頁(yè)數(shù)據(jù)分析工具.集成在Internet Explorer工具欄.包括網(wǎng)頁(yè)摘要.Cookies管理.緩存管理.消息頭發(fā)送/接受.字符查詢.POST 數(shù)據(jù)和目錄管理功能.報(bào)告輸出.HttpWatch 是一款能夠收集并顯示深層信息的軟件。它不用代理服務(wù)器或一些復(fù)雜的網(wǎng)絡(luò)監(jiān)控工具，就能夠在顯示網(wǎng)頁(yè)同時(shí)顯示網(wǎng)頁(yè)請(qǐng)求和回應(yīng)的日志信息。甚至可以顯示瀏覽器緩存和IE之間的交換信息。集成在Internet Explorer工具欄。

4、Burpsuite

目前Web安全滲透，是必須的工具，沒(méi)有之一，功能十分強(qiáng)大，Burp Suite 是用于攻擊web 應(yīng)用程序的集成平臺(tái)。它包含了許多工具，并為這些工具設(shè)計(jì)了許多接口，以促進(jìn)加快攻擊應(yīng)用程序的過(guò)程。所有的工具都共享一個(gè)能處理并顯示HTTP 消息，持久性，認(rèn)證，代理，日志，警報(bào)的一個(gè)強(qiáng)大的可擴(kuò)展的框架

5、Fiddler

目前最常用的web 報(bào)文滲透工具，功能十分強(qiáng)大，可以最為本地代理，報(bào)文重放等等。Fiddler是一個(gè)http協(xié)議調(diào)試代理工具，它能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的http通訊，設(shè)置斷點(diǎn)，查看所有的"進(jìn)出"Fiddler的數(shù)據(jù)（指cookie,html,js,css等文件，這些都可以讓你胡亂修改的意思）。 Fiddler 要比其他的網(wǎng)絡(luò)調(diào)試器要更加簡(jiǎn)單，因?yàn)樗粌H僅暴露http通訊還提供了一個(gè)用戶友好的格式。

6、Charles

Charles支持抓去http、https協(xié)議的請(qǐng)求，不支持socket。使用情況和fiddler基本大同小異。也是很常用的抓包工具。

三、 網(wǎng)絡(luò)抓包工具的使用方法和技巧

由于常用的抓包工具眾多，使用方法也很相似這里我只介紹其中大家最常用的Wireshark網(wǎng)絡(luò)抓包工具的使用方法。

工具，它是功能最全面使用者最多的抓包工具。Wireshark是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。

Wireshark基礎(chǔ)架構(gòu)如下：

Wireshark的官方下載網(wǎng)站：

Wireshark是開(kāi)源軟件，可以跨平臺(tái)使用

具體使用方法如下：

1、 界面窗口介紹

1.1WireShark 主要分為這幾個(gè)界面

1) Display Filter(顯示過(guò)濾器)， 用于過(guò)濾

2) Packet List Pane(封包列表)， 顯示捕獲到的封包， 有源地址和目標(biāo)地址，端口號(hào)。 顏色不同，代表

3) Packet Details Pane(封包詳細(xì)信息), 顯示封包中的字段

4) Dissector Pane(16進(jìn)制數(shù)據(jù))

5) Miscellanous(地址欄，雜項(xiàng))

1.2常用按鈕從左到右的功能依次是：

1) 列出可用接口。

2) 抓包時(shí)需要設(shè)置的一些選項(xiàng)。一般會(huì)保留最后一次的設(shè)置結(jié)果。

3) 開(kāi)始新的一次抓包。

4) 暫停抓包。

5) 繼續(xù)進(jìn)行本次抓包。

6) 打開(kāi)抓包文件?？梢源蜷_(kāi)之前抓包保存后的文件。不僅可以打開(kāi)wireshark軟件保存的文件，也可以打開(kāi)tcpdump使用-w參數(shù)保存的文件。

7) 保存文件。把本次抓包或者分析的結(jié)果進(jìn)行保存。

8) 關(guān)閉打開(kāi)的文件。文件被關(guān)閉后，就會(huì)切換到初始界面。

9) 重載抓包文件。

2、點(diǎn)擊網(wǎng)絡(luò)接口，獲取報(bào)文

點(diǎn)擊接口名稱之后，就可以看到實(shí)時(shí)接收的報(bào)文。Wireshark會(huì)捕捉系統(tǒng)發(fā)送和接收的每一個(gè)報(bào)文。如果抓取的接口是無(wú)線并且選項(xiàng)選取的是混合模式，那么也會(huì)看到網(wǎng)絡(luò)上其他報(bào)文。

上端面板每一行對(duì)應(yīng)一個(gè)網(wǎng)絡(luò)報(bào)文，默認(rèn)顯示報(bào)文接收時(shí)間（相對(duì)開(kāi)始抓取的時(shí)間點(diǎn)），源和目標(biāo)IP地址，使用協(xié)議和報(bào)文相關(guān)信息。點(diǎn)擊某一行可以在下面兩個(gè)窗口看到更多信息。"+"圖標(biāo)顯示報(bào)文里面每一層的詳細(xì)信息。底端窗口同時(shí)以十六進(jìn)制和ASCII碼的方式列出報(bào)文內(nèi)容。

需要停止抓取報(bào)文的時(shí)候，點(diǎn)擊左上角的停止按鍵。

色彩標(biāo)識(shí):

進(jìn)行到這里已經(jīng)看到報(bào)文以綠色，藍(lán)色，黑色顯示出來(lái)。Wireshark通過(guò)顏色讓各種流量的報(bào)文一目了然。比如默認(rèn)綠色是TCP報(bào)文，深藍(lán)色是DNS，淺藍(lán)是UDP，黑色標(biāo)識(shí)出有問(wèn)題的TCP報(bào)文——比如亂序報(bào)文。

報(bào)文樣本:

比如說(shuō)你在家安裝了Wireshark，但家用LAN環(huán)境下沒(méi)有感興趣的報(bào)文可供觀察，那么可以去Wireshark wiki下載報(bào)文樣本文件。

打開(kāi)一個(gè)抓取文件相當(dāng)簡(jiǎn)單，在主界面上點(diǎn)擊Open并瀏覽文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打開(kāi)。

過(guò)濾報(bào)文:

如果正在嘗試分析問(wèn)題，比如打電話的時(shí)候某一程序發(fā)送的報(bào)文，可以關(guān)閉所有其他使用網(wǎng)絡(luò)的應(yīng)用來(lái)減少流量。但還是可能有大批報(bào)文需要篩選，這時(shí)要用到Wireshark過(guò)濾器。

最基本的方式就是在窗口頂端過(guò)濾欄輸入并點(diǎn)擊Apply（或按下回車(chē)）。例如，輸入"dns"就會(huì)只看到DNS報(bào)文。輸入的時(shí)候，Wireshark會(huì)幫助自動(dòng)完成過(guò)濾條件。

也可以點(diǎn)擊Analyze菜單并選擇Display Filters來(lái)創(chuàng)建新的過(guò)濾條件。

另一件很有趣的事情是你可以右鍵報(bào)文并選擇Follow TCP Stream。

你會(huì)看到在服務(wù)器和目標(biāo)端之間的全部會(huì)話。

關(guān)閉窗口之后，你會(huì)發(fā)現(xiàn)過(guò)濾條件自動(dòng)被引用了——Wireshark顯示構(gòu)成會(huì)話的報(bào)文。

檢查報(bào)文:

選中一個(gè)報(bào)文之后，就可以深入挖掘它的內(nèi)容了。

也可以在這里創(chuàng)建過(guò)濾條件——只需右鍵細(xì)節(jié)并使用Apply as Filter子菜單，就可以根據(jù)此細(xì)節(jié)創(chuàng)建過(guò)濾條件。

3、應(yīng)用Wireshark觀察基本網(wǎng)絡(luò)協(xié)議

wireshark與對(duì)應(yīng)的OSI七層模型

TCP報(bào)文：TCP/IP通過(guò)三次握手建立一個(gè)連接。這一過(guò)程中的三種報(bào)文是：SYN，SYN/ACK，ACK。這個(gè)我之前的文章有講過(guò)就不在陳述過(guò)程了，接下來(lái)用抓包工具闡述以下過(guò)程。

首先打開(kāi)wireshark, 打開(kāi)瀏覽器輸入一個(gè)網(wǎng)址，然后在wireshark中輸入http過(guò)濾， 然后選中GET /tankxiao HTTP/1.1的那條記錄，右鍵然后點(diǎn)擊"Follow TCP Stream",這樣做的目的是為了得到與瀏覽器打開(kāi)網(wǎng)站相關(guān)的數(shù)據(jù)包，將得到如下圖

圖中可以看到wireshark截獲到了三次握手的三個(gè)數(shù)據(jù)包。第四個(gè)包才是HTTP的， 這說(shuō)明HTTP的確是使用TCP建立連接的。

第一次握手?jǐn)?shù)據(jù)包

客戶端發(fā)送一個(gè)TCP，標(biāo)志位為SYN，序列號(hào)為0， 代表客戶端請(qǐng)求建立連接。 如下圖

第二次握手的數(shù)據(jù)包

服務(wù)器發(fā)回確認(rèn)包, 標(biāo)志位為 SYN,ACK. 將確認(rèn)序號(hào)(Acknowledgement Number)設(shè)置為客戶的I S N加1以.即0+1=1, 如下圖

第三次握手的數(shù)據(jù)包

客戶端再次發(fā)送確認(rèn)包(ACK) SYN標(biāo)志位為0,ACK標(biāo)志位為1.并且把服務(wù)器發(fā)來(lái)ACK的序號(hào)字段+1,放在確定字段中發(fā)送給對(duì)方.并且在數(shù)據(jù)段放寫(xiě)ISN的+1, 如下圖:

就這樣通過(guò)了TCP三次握手，建立了連接。

ARP & ICMP：

開(kāi)啟Wireshark抓包。打開(kāi)Windows控制臺(tái)窗口，使用ping命令行工具查看與相鄰機(jī)器的連接狀況。

停止抓包之后，Wireshark如下圖所示。ARP和ICMP報(bào)文相對(duì)較難辨認(rèn)，創(chuàng)建只顯示ARP或ICMP的過(guò)濾條件。

ARP報(bào)文：

地址解析協(xié)議，即ARP（Address Resolution Protocol），是根據(jù)獲取的一個(gè)。其功能是：將ARP請(qǐng)求到網(wǎng)絡(luò)上的所有主機(jī)，并接收返回消息，確定目標(biāo)的物理地址，同時(shí)將IP地址和硬件地址存入本機(jī)ARP緩存中，下次請(qǐng)求時(shí)直接查詢ARP緩存。

最初從PC發(fā)出的ARP請(qǐng)求確定IP地址192.168.1.1的MAC地址，并從相鄰系統(tǒng)收到ARP回復(fù)。ARP請(qǐng)求之后，會(huì)看到ICMP報(bào)文。

ICMP報(bào)文：

網(wǎng)絡(luò)控制消息協(xié)定（Internet Control Message Protocol，ICMP）用于網(wǎng)絡(luò)中發(fā)送控制消息，提供可能發(fā)生在通信環(huán)境中的各種問(wèn)題反饋，通過(guò)這些信息，令管理者可以對(duì)所發(fā)生的問(wèn)題作出診斷，然后采取適當(dāng)?shù)拇胧┙鉀Q。

PC發(fā)送echo請(qǐng)求，收到echo回復(fù)如上圖所示。ping報(bào)文被mark成Type 8，回復(fù)報(bào)文mark成Type 0。

如果多次ping同一系統(tǒng)，在PC上刪除ARP cache，使用如下ARP命令之后，會(huì)產(chǎn)生一個(gè)新的ARP請(qǐng)求。

HTTP：

HTTP協(xié)議是目前使用最廣泛的一種基礎(chǔ)協(xié)議，這得益于目前很多應(yīng)用都基于WEB方式，實(shí)現(xiàn)容易，軟件開(kāi)發(fā)部署也簡(jiǎn)單，無(wú)需額外的客戶端，使用瀏覽器即可使用。這一過(guò)程開(kāi)始于請(qǐng)求服務(wù)器傳送網(wǎng)絡(luò)文件。

從上圖可見(jiàn)報(bào)文中包括一個(gè)GET命令，當(dāng)HTTP發(fā)送初始GET命令之后，TCP繼續(xù)數(shù)據(jù)傳輸過(guò)程，接下來(lái)的鏈接過(guò)程中HTTP會(huì)從服務(wù)器請(qǐng)求數(shù)據(jù)并使用TCP將數(shù)據(jù)傳回客戶端。傳送數(shù)據(jù)之前，服務(wù)器通過(guò)發(fā)送HTTP OK消息告知客戶端請(qǐng)求有效。如果服務(wù)器沒(méi)有將目標(biāo)發(fā)送給客戶端的許可，將會(huì)返回403 Forbidden。如果服務(wù)器找不到客戶端所請(qǐng)求的目標(biāo)，會(huì)返回404。

如果沒(méi)有更多數(shù)據(jù)，連接可被終止，類似于TCP三次握手信號(hào)的SYN和ACK報(bào)文，這里發(fā)送的是FIN和ACK報(bào)文。當(dāng)服務(wù)器結(jié)束傳送數(shù)據(jù)，就發(fā)送FIN/ACK給客戶端，此報(bào)文表示結(jié)束連接。接下來(lái)客戶端返回ACK報(bào)文并且對(duì)FIN/ACK中的序列號(hào)加1。這就從服務(wù)器端終止了通信。要結(jié)束這一過(guò)程客戶端必須重新對(duì)服務(wù)器端發(fā)起這一過(guò)程。必須在客戶端和服務(wù)器端都發(fā)起并確認(rèn)FIN/ACK過(guò)程。

今天的文章目的主要是讓大家了解網(wǎng)絡(luò)抓包的工作過(guò)程，如何去使用它，幫助我們分析判斷網(wǎng)絡(luò)故障，查詢網(wǎng)絡(luò)漏洞，維護(hù)網(wǎng)絡(luò)安全，更好的學(xué)習(xí)網(wǎng)絡(luò)原理。近期我會(huì)通過(guò)頭條平臺(tái)發(fā)布個(gè)人關(guān)于信息安全知識(shí)講解的課程，小伙伴們可以時(shí)刻關(guān)注哦?。?！