計(jì)算機(jī)網(wǎng)絡(luò)如何抓包 ?

計(jì)算機(jī)網(wǎng)絡(luò)如何抓包?以下就是計(jì)算機(jī)網(wǎng)絡(luò)如何抓包等等的介紹，希望對(duì)您有所幫助。 ?

計(jì)算機(jī)網(wǎng)絡(luò)里抓包就是將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作，也用來(lái)檢查網(wǎng)絡(luò)安全等等。 ?

以Sniffer軟件為例說(shuō)明：數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀(Frame)的單位傳輸?shù)?，幀由幾部分組成，不同的部分執(zhí)行不同的功能。幀通過(guò)特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線上，通過(guò)網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過(guò)程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就是在這個(gè)傳輸和接收的過(guò)程中，嗅探器會(huì)帶來(lái)安全方面的問(wèn)題。 ?

每一個(gè)在局域網(wǎng)(LAN)上的工作站都有其硬件地址，這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器(這一點(diǎn)與Internet地址系統(tǒng)比較相似)。當(dāng)用戶發(fā)送一個(gè)數(shù)據(jù)包時(shí)，如果為廣播包，則可達(dá)到局域網(wǎng)中的所有機(jī)器，如果為單播包，則只能到達(dá)處于同一碰撞域中的機(jī)器。在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽(tīng)”到通過(guò)的流量，但對(duì)不屬于自己的數(shù)據(jù)包則不予響應(yīng)(換句話說(shuō)，工作站A不會(huì)捕獲屬于工作站B的數(shù)據(jù)，而是簡(jiǎn)單地忽略這些數(shù)據(jù))。如果某個(gè)工作站的網(wǎng)絡(luò)接口處于混雜模式(關(guān)于混雜模式的概念會(huì)在后面解釋)，那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和幀。 ?

電腦是怎么抓包的 ?

抓包，就是通過(guò)軟件，檢測(cè)網(wǎng)卡所流通的數(shù)據(jù)。 ?

數(shù)據(jù)并不是像水一樣不停的傳輸?shù)模欠殖梢粋€(gè)包一個(gè)包的，每個(gè)數(shù)據(jù)包都有包頭，包頭內(nèi)記錄著發(fā)送方的ip 端口 接受方的ip 端口 以及數(shù)據(jù)包所使用的協(xié)議等等。包頭之后，才是我們要傳輸?shù)臄?shù)據(jù)，分析軟件就會(huì)將數(shù)據(jù)包由10組成的二進(jìn)制流翻譯為我們可以看懂的東西。像sniffer這種強(qiáng)大的軟件，可以直接將圖片都顯示出來(lái)。網(wǎng)管必備，在他檢測(cè)下，他所在網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)活動(dòng)都可以被檢測(cè)到。 ?

但是隨著保密意識(shí)的增加，很多網(wǎng)絡(luò)活動(dòng)都加密了。幾個(gè)月前的百度知道登陸是不用加密，如果用檢測(cè)軟件檢測(cè)你的電腦，抓包，就有可能抓到你的賬號(hào)密碼，現(xiàn)在不能了，已經(jīng)加密了! ?

如何查看抓包數(shù)據(jù) ?

對(duì)于標(biāo)準(zhǔn)的Http返回，如果標(biāo)明了Content-Encoding:Gzip的返回，在wireshark中能夠直接查看原文。由于在移動(dòng)網(wǎng)絡(luò)開(kāi)發(fā)中，一些移動(dòng)網(wǎng)關(guān)會(huì)解壓顯式標(biāo)明Gzip的數(shù)據(jù)，以防止手機(jī)瀏覽器得到不能夠解壓的Gzip內(nèi)容，所以，很多移動(dòng)開(kāi)發(fā)者選擇了不標(biāo)準(zhǔn)的Http頭部。 ?

?

也就是說(shuō)，Http返回頭部并沒(méi)有按標(biāo)準(zhǔn)標(biāo)Content-Encoding:Gzip屬性。這樣就導(dǎo)致在wireshark中無(wú)法直接查看。 ?

這時(shí)，將抓包得到的數(shù)據(jù)以raw形式存為文件，再使用UE以16進(jìn)制查看，去掉文件中非Gzip壓縮的數(shù)據(jù)，就可以將文件用Gzip解壓工具解壓后查看原文了。 ?

Gzip數(shù)據(jù)以1F8B開(kāi)頭，可以以此來(lái)劃分文件中的Gzip和非Gzip數(shù)據(jù)。 ?

怎樣使用Wireshark抓包 ?

1、找到電腦上的Wireshark軟件，點(diǎn)擊啟動(dòng)。 ?

2、在主頁(yè)面，可以看如圖。先選擇“Local Area Connection”，再選擇Start，進(jìn)行啟動(dòng)。 ?

3、可以看到軟件已經(jīng)啟動(dòng)，點(diǎn)擊紅色按鈕可以stop。 ?

4、如果只想看http的包，在輸入框里輸入http后，點(diǎn)擊apply。 ?

5、可以看到協(xié)議全部都是http了。 ?

6、如果想要重新檢測(cè)，查看包的發(fā)送情況，點(diǎn)擊此按鈕可以選擇重新啟動(dòng)監(jiān)測(cè)。 ?

7、可以看到重啟后的發(fā)包情況。 ?

8、找到你想要監(jiān)測(cè)的那個(gè)包，右鍵選擇“Follow TCP stream”。 ?

9、可以看到包里面的詳細(xì)信息。 ?