[TOC]

Wireshark VS Fiddler/Charles

Wireshark功能很多、作用效果很底層，并且可以監聽指定的網卡上流過的所有流量，支持的協議如下：

ARP 協議：地址解析協議，即ARP（Address Resolution Protocol），是根據 IP地址 獲取 物理地址 的一個 TCP/IP協議

ICMP 協議：控制 報文 協議。 它是 TCP/IP協議簇 的一個子協議，用于在IP 主機 、 路由 器之間傳遞控制消息

TCP 協議， TCP/IP是一種面向連接的、可靠的、基于字節流的傳輸層通信協議，它會保證數據不丟包、不亂序。TCP全名是Transmission Control Protocol，它是位于網絡OSI模型中的第四層(Transport layer)

三次握手：

理想狀態下，TCP連接一旦建立，在通信雙方中的任何一方主動關閉連 接之前，TCP 連接都將被一直保持下去。斷開連接時服務器和客戶端均可以主動發起斷開TCP連接的請求，斷開過程需要經過“四次握手”（過程就不細寫 了，就是服務器和客戶端交互，最終確定斷開）

通俗的話：三次握手是 1.客戶端發生請求，“服務器服務器，請求請求！！！” 2.服務器不確定是不是他，要進行確認，“我不知道你是不是我要等的那個客戶端，我要確定一下” 3.客戶端就發送確認信息，“是我是我！” 服務器收到之后，確認過眼神遇上對的客戶端，就建立連接了。

UDP 協議：UDP協議與TCP協議一樣用于處理數據包，在OSI模型中，兩者都位于傳輸層，處于IP協議的上一層。UDP有不提供數據包分組、組裝和不能對數據包進行排序的缺點，也就是說，當報文發送之后，是無法得知其是否安全完整到達的

DNS 協議：DNS協議是用來將域名轉換為IP地址（也可以將IP地址轉換為相應的域名地址）

HTTP 協議， FTP 協議：略

Fidder 的強大在于，專門為 Http/Https 協議定制的軟件，主要為了抓取這兩個協議的數據包

（一）下載與安裝

https://www.wireshark.org/download.html

Win補丁下載：

http://www.win10pcap.org/download/

執行需要抓包的操作，如ping www.baidu.com

該圖為 Wireshark 的主界面，界面中顯示了當前可使用的接口，例如，本地連接 5、本地連接 10 等。要想捕獲數據包，必須選擇一個接口，表示捕獲該接口上的數據包

操作完成后相關數據包就抓取到了。為避免其他無用的數據包影響分析，可以通過在過濾欄設置過濾條件進行數據包列表過濾，獲取結果如下。說明：ip.addr == 110.242.68.4 and icmp 表示只顯示ICPM協議且源主機IP或者目的主機IP為110.242.68.4 的數據包。

http條件過濾

IP 過濾 比如 ip.src ==192.168.1.102 顯示源地址為192.168.1.102， ip.dst==192.168.1.102, 目標地址為192.168.1.102

Http模式過濾 http.request.method=="GET", 只顯示HTTP GET方法的

http.host==****53zaixian.com

http.host contains 53zaixian.com

過濾抓取53域名的http請求

http.host contains 53zaixian.com

（二）抓取https等解密

Wireshark+Chrome,HTTPS數據包抓取配置

配置系統環境變量

變量名：SSLKEYLOGFILE 變量值：此處可以隨意指定，作用是告訴chrome輸出SSLKEY的位置，而wireshark則可以使用此文件來解密HTTPS數據包。

配置Wireshark

填入剛才在系統變量指定的keylog文件的存儲路徑，以便wireshark訪問keylog中的key，來解密HTTPS數據包。 中文：編輯>首選項>protocols>TLS English：Edit>Preferences>protocols>TLS

（三）報文傳輸各層簡要介紹

·Frame: 物理層的數據幀概況

·Ethernet II: 數據鏈路層以太網幀頭部信息

·Internet Protocol Version 4: 互聯網層IP包頭部信息

·Transmission Control Protocol: 傳輸層T的數據段頭部信息，此處是TCP

·Hypertext Transfer Protocol: 應用層的信息，此處是HTTP協議

物理層數據幀

數據鏈路層以太網幀的頭部信息

網絡層IP頭部包信息

傳輸層數據包頭部信息

HTTP協議分析，請求報頭，報文分析：

響應報文

追蹤流查看詳細信息：

這樣就可以比較清晰的看到一個數據流過程。還可以看到自己的****cookie****，host，瀏覽器信息，等http數據包的詳細內容。

本文由mdnice多平臺發布