关于网络抓包的一些记录

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于网络抓包的一些记录相关的知识,希望对你有一定的参考价值。

参考技术A

2019-02-22 遇到的一点小问题
最近需要分析点网络数据,所以贴一下用过的几个工具。

最开始是在 okhttp-OkGo 看到的介绍。抓取 HTTP 和 HTTPS 很方便,查看信息也很容易。android开发时,手机设置代理后抓取也很省事。

因为这次要抓取的主要是 TCP 协议,所以就选的wireshark,因为这个还带有分析功能。
wireshark使用方法总结
Wireshark抓包工具使用以及数据包分析
pcapng文件的python解析实例以及抓包补遗
以上是参考的几个链接,然后这边贴一下一些使用记录:
过滤条件: ip.addr == 192.168.10.148 and ip.addr == 192.168.10.31 and tcp.port == 50455 。

报文里出现的 Tcp Window Update ,相关解释可以参考 what-is-a-tcp-window-update 。
在 View - Coloring Rules... 里面可以查看视图-着色规则或修改颜色设置。

这边贴一下 详细信息 。当然展示的这些信息 Wireshark 帮我们做了很多处理,让我们能很直观的查看。我在 用Python分析pcap文件 时,展示的数据就是参考的这些。:

因为Windows要做其他工作,所以特地弄了台机器安装 CentOS 系统,然后再安装tcpdump自动抓包。
安装和使用 网上搜一下有很多 ,安装好后可以执行 tcpdump -D 查看能抓包的网络接口。然后就可以进行抓包并进行存储。如果存储时不指定路径,默认存储文件到根目录。

为了在 windows 上分析pcap文件,所以使用 samba 将centos上的文件共享给我的电脑。
按步骤 安装samba 后, cd /etc/samba/ 进入samba配置目录, vi smb.conf 使用vi 修改 smb.conf文件 , : wq 保存退出后,设置账号密码,然后 service smb [start][stop][status][restart] 重启samba服务。 ps aux | grep samba 可查询进程是否运行。测试一下不行...同事 给了个链接 ,让关闭防火墙,再试一下,可以了。

为了在另一台电脑抓取两台设备间的网络通讯内容,公司特地买了台 全千兆Web网管交换机TL-SG2005 。因为管理地址和电脑网段不一致,所以还特地去改了一下。为了下次设置时省事,可以在管理页面设置一下设备IP、端口。
按 TL-SG2005 V2.0用户手册 1.1.0.pdf 设置后,开启镜像功能,就能进行端口监控了。将被监控端口的数据包复制一份到监控端口,实现网络监控。
这中间出现一个问题,就是抓包时会出现很多丢包重发的。而这个现象直接在设备上抓取是没有的。查询后发现是因为设备和外网都是用的1000Mbps宽带,而我电脑用的100Mbps。然后镜像端网络带宽占用严重时,监测数据也会出现部分丢包现象,记录一下。

同事推荐的SSH工具,虽然经常卡顿、闪退,但是远程登录管理主机很方便,直接复制黏贴命令,很直观地查看文件夹,省了很多事。

Android中利用手机抓包的方法,经典篇

在移动逆向分析以及 App 开发的时候,总会需要对其网络行为进行监控测试,本文总结一些抓包思路,并对其使用方法进行实践

笔者认为在抓包界,Wireshark 应该算是综合排名第一的工具(其实 Wireshark 自带的命令行工具 tshark 更牛逼)

本文总结记录了 5 种抓包方式,掌握其一即可进行实践,欢迎大家一起交流分享

0x01 基于 Wireshark

实验步骤:

1.1 在电脑主机上使用猎豹 Wifi之类的工具,开启热点,将所要测试的手机连接该热点,记录其IP地址

1.2 使用 Wireshark 对以上 IP 地址进行捕获

Capture——Options

1.3 总结

该方法简单粗暴高效,可以将捕获的数据包随时保存下来,便于后续分析或者进行 PCAP 可视化分析。

关于命令行工具 tshark 在此不做赘述,感兴趣的读者自行研究。

0x02 基于 tcpdump

实验环境:

下载安装 Genymotion 安卓虚拟机,在该模拟器环境种进行实践操作(基于实体手机亦然,前提是手机必须得 ROOT

笔者仅在 Android 系统下测试,未在 iOS 系统下实验

实验步骤:

2.1 说明

模拟器中自带的 tcpdump 工具,位于: /system/xbin/ 目录下

2.2 数据包捕获

可以通过 adb shell 命令在 CMD 模式下连接模拟器,su 到 root 模式进行抓包

1 tcpdump -vv -s 0 -i eth1 -w /sdcard/capture .pcap

参数说明:

  • -vv:获取详细的包信息(注意是两个 v 不是 w)
  • -s 0:不限数据包的长度,如果不加则只获取包头
  • -w xxx.pcap:捕获数据包名称以及存储位置(本例中保存在 sdcard 路径下,数据包名为 capture.pcap)
  • -i eth1:捕获制定的网卡(在 genymotion 虚拟机中,使用 busybox ifconfig 命令可以查看相关信息,一般 genymotion 的 ip 地址都为 10.xx.xx.x)
  • 如果你想指定捕获的数据包长度,可以使用 -c 参数(例如 -c 128)

捕获结束,直接按 Ctrl + C 即可

2.3 数据分析

将捕获到的数据包拖到本地使用 Wireshark 进行查看:

1 adb pull /sdcard/capture .pcap C:\\tmp

TIPS:将数据包文件 push 到手机上命令为

1 adb push C:\\tmp\\capture.pcap /sdcard/

0x03 基于 Fiddler 4

实验步骤:

3.1 下载 FIddler 4

点击下载 Fiddler 4

3.2 设置 Fiddler 4

打开Fiddler,Tools-> Fiddler Options (配置完成记得重启 Fiddler)

3.3 设置手机代理

首先,获取安装 Fiddler 4 的 PC 对应的 IP 地址(ipconfig):

确保手机和 PC 是连接在同一个局域网中!!!

下面对手机进行设置(笔者使用小米测试机):点击手机中“设置”——Wi-Fi——选择已经连接的wifi——代理设置改为手动

下载 Fiddler 的安全证书

使用手机浏览器访问:http://10.2.145.187:8888,点击"FiddlerRoot certificate",然后安装证书即可。

至此,已经全部设置完毕。

3.4 数据包捕获

重新打开 Fiddler 4,然后打开手机中的浏览器,访问任意网址,Fiddler 抓包信息如下:

Enjoy!

0x04 基于 Charles

实验环境:

win7 + Charles v3.11

一般使用 Charles 都是基于 MAC OS ,笔者在 mac 平台以及 windows 平台均试验过,操作过程和思路基本一致,因此,本文以 win7 为测试环境

实验步骤:

4.1 捕获 http 数据包

手机设置代理:

打开 Charles 即可捕获数据包(Proxy —— Proxy Settings):

4.2 捕获 https 数据包

手机端安装证书:

Android 手机或者 iPhone 均可直接访问 http://www.charlesproxy.com/ssl.zip ,然后根据图示点击证书安装

设置 Charles:

选择 Proxy —— SSL Proxying Settings —— Locations —— Add

在弹出的表单中填写 Host 域名(也就是你想要抓包链接的主机名),以及对应的 Port 端口(此处相当于过滤作用)

当然,你可以采用更加粗暴的方式:使用通配符,例如你想要捕获所有的 https 包,这里也可以直接都为空,表示捕获所有的主机和端口;或者都分别填“*”星号,匹配所有的字符,捕获所有的 https。

0x05 基于 Burpsuite

实验步骤:

5.1 捕获 http 数据包

PC 端 Burpsuite 设置:

手机端代理设置方法同以上 3.3 4.1

打开 Burpsuite 即可捕获 http 数据包:

5.2 捕获 https 数据包

手机端设置好代理之后,使用浏览器访问:http://burp/

此处存在一个问题:下载的证书是 der 格式的,我们手机端安装的是 crt 格式的,需要使用 firefox 浏览器转一下格式:可以首先在 Brupsuite 中导出 der 格式证书,然后导入火狐浏览器,然后从火狐浏览器导出证书格式为 crt

打开火狐浏览器:工具——选项——高级——证书——查看证书

成功捕获 https 数据包

0x06 总结

  • 当我们停止捕获数据包时,将Fiddler 或 Charles 关闭,此时手机端是无法正常访问网络的,因为设置了代理,这时候需要将代理关闭,即可正常浏览网页

  • 对于大多数走代理的应用可以选择 Fiddler 或 Charles,无需 root,一次配置,终身使用;对于不走代理的 App 可以利用 tcpdump 捕包,然后使用 Wireshark 查看;最简单便捷的便是第一种方法「0x01. 基于 Wireshark」

  • 以上所有工具各有优劣,读者可以根据工作环境,按需使用,个人觉得一般情况下使用 Wireshark + Fiddler 或者 Wireshark + Charles 即可完成各平台的抓包分析任务

  • 以上工具中只有BurpSuite可以对抓包过程进行交互式操作;Wireshark支持的协议最多,也更底层,功能强大,但过于沉重

  • 对于本文涉及的相关工具的安装、设置、破解、详细使用,不在本文讨论范围之内(Charles 免费版其实还比较厚道,如果重度需要,建议购买正版),本文旨在浅析捕获移动终端数据包的方法和思路

0x07 参考文献

  1. 抓包工具Fidder详解
  2. Mac上的抓包工具Charles
  3. 网络抓包工具Charles的介绍与使用
  4. charles使用教程指南
  5. Android安全测试之BurpSuite抓包
  6. Android利用tcpdump和wireshark抓取网络数据包

以上是关于关于网络抓包的一些记录的主要内容,如果未能解决你的问题,请参考以下文章

关于Linux 网络抓包的一些笔记整理

需要搞清楚的关于抓包的问题

网络抓包原理

TCPDUMP 抓包 怎么查看 抓的包的内容

linux各种抓包情况说明

Android中利用手机抓包的方法,经典篇