网络抓包工具及其原理

Posted 2023-03-22

参考技术A

常见的网络抓包工具大体上按照抓包节点可以分成两类：
一种是通过 代理中间服务 截取协议包，例如Whistle，Charles，Fiddler，miniproxy一种是在网卡链路层截取数据包，例如warshark, tcpdump
还有像，Chrome浏览器的调试工具，这种属于工具本身内置的能力。

根据其实现方式，它们的能力界限各有特点。下面是一个大致的比较:

总结：
通过以上的比较，大体上，这几个主流的抓包工具基本上可以满足我们日常的抓包需求

抓包工具能力图：

6.反向代理
反向代理在本地端口上创建一个 Web 服务器，该服务器透明地将请求代理到远程 Web 服务器。反向代理上的所有请求和响应都可能记录在 Charles 中。

如果您的客户端应用程序不支持使用 HTTP 代理，或者您想避免将其配置为使用代理，则反向代理非常有用。创建到原始目标 Web 服务器的反向代理，然后将客户端应用程序连接到本地端口；反向代理对客户端应用程序是透明的，使您能够查看 Charles 中以前可能无法查看的流量。

7 端口转发。
可以使用代理工具配置tcp/udp协议的端口转发 内网渗透中的端口转发

网络数据收发是一个数据流，我们要查看数据包的细节，一般的方法是，在客户端和服务器之间进行截获。
一般有两种方式：
一种是设置代理抓取http包，比如Charles、mitmproxy这些软件。
另一种是直接抓取经过网卡的所有协议包，其中最出名就是大名鼎鼎的wireshark以及linux自带的抓包软件tcpdump。

参考文档:

iOS系统网络抓包方法

转到自己的博客收藏。

1. 网络共享 + 可视化抓包工具

• 基本原理

原理比较简单，ios设备通过代理方式共享连接mac电脑的无线网卡，使用抓包工具抓包，然后进行分析（我们推荐使用Wireshark，在MAC系统上也可以使用Paros工具）。

现在以MAC系统下Paros工具为例，详细描述下抓包过程：

• 操作步骤

1)  首先将MAC电脑的以太网共享给airport，使iOS设备能够通过wifi连接

打开系统偏好设置，找到共享，选择internet共享，在右侧“通过以下方式将”选择以太网，“连接共享给其他电脑”选择airPort。

2)  打开paros ，设置paros的本地代理paros下载地址（http://www.parosproxy.org/）

在paros的tools－》options中选择local proxy，在Address 中输入AirPort的ip地址。输入端口8080。打开系统偏好设置，找到网络，选择左侧的AirPort，可以看到AirPort的地址为169.254.69.225，将该地址填入到上面提到的Address栏中。

3)  使用ios设备连接mac共享出来的网络：在iOS设备中，选择设置－》通用－》网络－》wifi，找到共享的网络，加入。然后在该网络的纤细内容中的http代理部分，选择手动，输入paros中设置的代理ip和端口。

4)  下面就可以使用paros来监控iOS设备的网络，我们打开Safiri，在paros中即可察看到网络的所有请求。

 

2. tcpdump命令 + 可视化抓包工具

• 基本原理

tcpdump命令是一个网络的抓包的命令行，他能指定具体的设备，也能制定具体的五元组进行捕获链路上的数据包。它可以再终端上打印出来也可以将捕获到得数据写入到一个文件，文件的格式是二进制形式，所以，我在打开该文件的时候才用的工具是UltraEdit。

      当然也可以保存成Wireshark能够识别的pcap格式，然后使用Wireshark进行查看。

• 操作步骤

1)  采用ssh登陆iphone手机，使用top命令获取：

具体步骤如下：

a)       获取设备IP地址(wifi地址)：

b)  在PC上打开终端，输入ssh [email protected]地址：

 

         输入密码：alpine (root用户的默认密码)

 

2)  通过“tcpdump -X -s0  -w /data.pcap”命令将tcp数据包保存到iOS设备的根目录下。

 

3)  通过91助手等工具取出pcap文件，在Windows下使用双击使用Wireshark打开查看。

 

　　当然也可以不输出到文件，tcpdump的命令格式和参数说明：

    tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]

　　　　　　[ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]

　　　　　　[ -T 类型 ] [ -w 文件名 ] [表达式 ]

     选型介绍：

      -a 　　  将网络地址和广播地址转变成名字；

　　-d 　　  将匹配信息包的代码以人们能够理解的汇编格式给出；

　　-dd 　　将匹配信息包的代码以c语言程序段的格式给出；

　　-ddd 　 将匹配信息包的代码以十进制的形式给出；

　　-e 　　  将捕获的包数显示出来

　　-f 　　　将外部的Internet地址以数字的形式打印出来；

　　-l 　　　使标准输出变为缓冲行形式；

　　-n 　　 不把网络地址转换成名字；

　　-t 　　  在输出的每一行不打印时间戳；

　　-v 　　 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

　　-vv 　   输出详细的报文信息；

　　-c 　　 在收到指定的包的数目后，tcpdump就会停止；

　　-F 　　 从指定的文件中读取表达式,忽略其它的表达式；

　　-i 　　  指定监听的网络接口；

　　-r 　　 从指定的文件中读取包(这些包一般通过-w选项产生)；

　　-w 　　直接将包写入文件中，并不分析和打印出来；

　　-T 　　 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）

 

    在使用该命令的时候，我主要使用的主要选项是:  -i [接口名]  -w [文件名]  -v -vv  -c -X -e

    例如：

    我在从eth0捕获100个数据包的时候，并将数据写入到capture.cap文件中，命令格式为：

    tcpdump -i eth0 -w capture.cap -v -vv -c 100 -X -e

    抓取一个一个ip段之间的数据包：

    tcpdump –s 0 –w socket host 10.1.3.9 and host 10.1.3.84

    如果从eth0且通信协议端口为22，目标IP为192.168.1.100获取数据：

    tcpdump -i eth0 port 22 and src host 192.168.1.100

    此外还有其他的一些关键词：host,(主机) ， net( 网关)， port(端口) ， src(源IP) , dst(目的IP), 正则表达式：and , or。