Wireshark for Mac版 抓包的基本用法

Wireshark我使用了一段时间,才知道这是抓包神器,最全最牛逼的抓包软件。当时我之所以要学习Wireshark,是因为要抓取手机端今日头条的请求,看今日头条的懒加载是如何做的,从而无耻学习。我就这么直白,不服来打我呀,打我呀打我呀。

o( ̄ヘ ̄o#) 哼,言归正传。
今日头条的手机端的URL为:http://m.toutiao.com

早期的时候,我使用Charles(大花瓶)抓取的时候,今日头条的请求方式还是普通的GET请求。但是不知道从何时开始,大花瓶已经抓不住他了,已经和那些普通妖艳贱货不一样了。
已经变得这么的高冷,让别人无法接近。

从Charles(具体使用方法在本文的最下面)口中得知。

Charles抓包

我们已经不能从GET和POST中获取到任何的新闻信息,排除了某宝,二手东,和广告的连接,发现了4个Method为Connect有嫌疑的连接。
犯罪嫌疑人有4人,如下:
https://e.crashlytics.com
https://a3.bytecdn.cn
https://i.snssdk.com
https://is.snssdk.com

首先排除第一个Crashlytics,他是统计Crash的工具。
然后排除第二个bytecdn。CDN服务商,网络服务商。
好的接下来两个就是重头戏了。

Charles能抓到的信息
CONNECT抓到的乱码

得到的数据辣眼睛

看来Charles已经只能帮我到这了,Charles虽然很方便,GET和POST请求是他的强项,能直接显示URL、请求头、参数名、参数格式,如果返回的是图片,还能直接在Charles中看到图片。但是Charles处理不了TCP、ICMP、UDP、DNS。看到的数据也有限,基本就是应用层的信息,如果想看到物理层的数据帧情况,链路层的帧头部信息,IP的包头部信息,那Charles已然GG了,而且通过大神指点,知道这明摆的就是TCP传输,用Wireshark解析,这好使。

我们先熟悉一下 Wireshark for Mac 的界面。


Wireshark的页面

点击接口名称之后,就可以看到实时接收的报文。Wireshark会捕捉系统发送和接收的每一个报文。如果抓取的接口是无线并且选项选取的是混合模式,那么也会看到网络上其他报文。

使用Wireshark时最常见的问题,是当您使用默认设置时,会得到大量冗余信息,而且这些信息包括Mac的还有iPhone的,数据量比Charles大的多,以至于很难找到自己需要的部分,所以一定得学会用过滤器。
这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。

捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。
显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

比较常用的过滤器:1.输入Method 2.还有就是IP的搜索。
例如,输入“TCP”就会只看到TCP报文。输入的时候,Wireshark会帮助自动完成过滤条件。

输入“TCP”就会只看到TCP报文

最经常用的:
ip.src == 10.2.189.0 or ip.dst == 10.2.189.0

通过IP查找

其他常用的:
tcp dst port 3128 显示目的TCP端口为3128的封包。

ip src host 10.1.1.1 显示来源IP地址为10.1.1.1的封包。

host 10.1.2.3 显示目的或来源IP地址为10.1.2.3的封包。

src portrange 2000-2500 显示来源为UDP或TCP,并且端口号在2000至2500范围内的封包。

not imcp 显示除了icmp以外的所有封包。(icmp通常被ping工具使用)

src host 10.7.2.12 and not dst net 10.200.0.0/16 显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的封包。

数据处理:


数据处理

如图上,可以发现。
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息,此处是TCP
Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议(但是这里没显示出来)

物理层和链路层还有头部的信息,如果只是普通抓包的话,我们完全用不上。
传输层协议和HTTP协议是大头。其中有一些明显的数据。(比如URL,请求头啊)

万事俱备只抓包

此时找到今日头条的TCP消息,右键,追踪流,TCP流。


追踪TCP

今日头条!Gotta catch!!


Gotta catch

终于抓到TCP的内容了,建立了长连接以后,
蓝色的是我对今日头条发送的信息,红色是对方返回的信息。数据还在破解中,抓包过程到此结束。


TCP的流

总结

今日头条把原先的GET和POST方法,经过了TCP的一轮封装,两个IP地址通过端口长连接以后,这是第一层保护;接着我会给服务器发送我请求的信息,请求的信息通过封装后(估计是又回到了Get请求)给服务器发送,服务器再给我返回信息,这是第二层保护;最后服务器发送的信息,是乱码!!!我的天,居然还是乱码。
嗨!真的好气啊。
这是第三层保护,通过某种加密方式,把返回的json数据加密了,返回的内容完全看不懂,只有通过App的解密,才能知道今日头条的信息。
真有你的。

大体介绍下Charles的流程:

1.配置iPhone或Android 的wifi配置。首先保证Mac电脑和手机是在同一个局域网内。
2.设置手机wifi配置,在HTTP代理中选择手选代理,服务器填写Mac的IP地址。端口使用8888。
(查看Mac的IP地址:系统偏好设置-->网络-->状态-->其IP地址为:xx.xx.xx.xx )
3.此时再打开Charles,接着Charles会问你,是否允许该设备代理上网,选择Allow。
4.此时手机的所有GET和POST请求,都逃不过Charles的追踪。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,793评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,567评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,342评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,825评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,814评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,680评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,033评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,687评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 42,175评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,668评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,775评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,419评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,020评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,206评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,092评论 2 351
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,510评论 2 343

推荐阅读更多精彩内容