Wireshark抓包，帶你快速入門

前言

關於抓包咱們平時使用的最多的可能就是Chrome瀏覽器自帶的Network面板了（瀏覽器上F12就會彈出來）。另外還有一大部分人使用Fiddler，Fiddler也是一款很是優秀的抓包工具。可是這二者只能對於HTTP和HTTPS進行抓包分析。若是想要對更底層的協議進行分析（如TCP的三次握手）就須要用到咱們今天來講的工具Wireshark，一樣是一款特牛逼的軟件，且開源免費自帶中文語言包。

安裝和基本使用

Wireshark開源地址：https://github.com/wireshark/wireshark
Wireshark下載地址：https://www.wireshark.org/download，這裏有它的歷史版本。今天咱們就來安裝最新版本3.2.0，一路默認「下一步」安裝大法就能夠了。安裝好後默認就是中文版。

開始抓包

顯示過濾器

你會發現第一部份內容跳到很是快，根本無法找到本身想要分析的內容。這裏咱們可使用顯示過濾器，只顯示咱們想要看的內容。
在顯示過濾器填入http.request.method == "GET",而後用Chrome瀏覽器訪問http://fanyi-pro.baidu.com/index（特地找的一個http網站）

除了過濾Get請求外，經常使用的顯示過濾器還有：

• tcp、udp 前者表示只顯示tcp，後者表示只顯示udp。也能夠!tcp，表示顯示除了tcp以外的。還能夠tcp or udp，表示顯示tcp和udp。
• ip.src == 192.168.1.120 and ip.dst == 208.101.60.87 ，ip.src表示客戶端ip（源地址ip）、ip.dst表示服務器ip（目標地址ip）
• tcp.port == 80 || udp.srcport == 80 ，tcp.port 表示tcp的端口爲80，udp.srcport表示udp源端口爲80。||表示或者和or等效，&&和and等效。（還有tcp.srcport、tcp.dstport等等）

捕獲過濾器

顯示過濾器是指捕獲了全部通過網卡的封包，而後在顯示的時候進行過濾顯示。明顯，若是流量過大會致使捕獲的內容過多，篩選變得卡頓。因此，咱們能夠在捕獲階段的時候就過濾掉無用的流量。

• udp、tcp 前者表示只顯示tcp，後者表示只顯示udp。也能夠!tcp，表示顯示除了tcp以外的。還能夠tcp or udp，表示顯示tcp和udp。
• host 192.168.1.110 ,表示只捕獲ip地址爲192.168.1.110的封包（這裏的語法和顯示過濾器不同，請注意）
• dst port 80 or port 44三、not port 53，表達端口的過濾（這裏的語法和顯示過濾器不同，請注意）
  

着色規則

咱們看到第一部份內容，封包列表有各類不一樣的背景色。其不一樣顏色表明不一樣意義。淡藍色代碼udp協議，紅字黑底表明有問題的封包。更多具體規則可 識圖->着色規則

TCP/IP四層協議

下面的動圖是各層對應的數據

從上面的動圖咱們能夠發現，應用層到傳輸層再到網絡層到以太網層，其對應的數據包也在對應的往前移。
咱們能夠想象一下，應用層數據往上傳遞，每通過一層就包上一個新得信封。等數據送到目的主機，而後每往下一層就拆一個信封，最後拆到應用層也就是最開始得數據了。

TCP三次握手

對於三次握手我想不少人只聽過沒見過，那麼今天咱們就來見見。
三次握手是過程： 一、客戶端發送同步SYN標誌位和序列號Seq(a) 二、服務器回覆SYNACK、Seq(b)、Ack（a+1）三、客戶端回覆SYN、Seq(a+1)、Ack（b+1）

那麼在Wireshark中怎麼觀察呢。咱們仍是以http://fanyi-pro.baidu.com/地址爲例。首先打開Chrome輸入地址，F12打開瀏覽器的Network面板，刷新頁面在面板中找到服務器IP。 打開Wireshark開始抓包，並在顯示過濾器只顯示IP地址對應的數據。

TCP四次揮手

除了三次握手，還有對應的四次揮手。不知道是否是我網絡很差，「揮手」的時候總是出現重傳錯誤干擾（就是前面說的那種紅字黑底封包）。下面是我本地環境本身寫代碼的抓包效果。
與握手不一樣是揮手是發送FIN標誌位斷開鏈接，其餘都差很少。

Wireshark抓包以下

HTTPS的抓包

由於HTTPS是HTTP的基礎下加入SSL加密層，因此Wireshark抓到是密文。也就看不到請求參數和響應結果，甚至連url連接都是密文。
要想在Wireshark抓包明文數據，可進行以下操做：

• 一、windows電腦配置環境變量 SSLKEYLOGFILE D:\testssl.txt
  
  
• 二、Wireshark 編輯 - 首選項 - Protocols - TLS 最後一個選中D:\testssl.txt。
  

若是是HTTP2能夠進行http2.headers.method == "GET"或http2.headers.method == "POST"，若是是HTTP能夠進行http.request.method == "GET"過濾。

UDP協議

Wireshark除了能夠抓包TCP一樣也能夠對UDP進行抓包。

其實這個抓取的是BACnet報文，而這個BACnetIP正是基於UDP的一個協議。

ModBusTcp協議

結束

授人以魚不如授人以漁。Wireshark不只能夠對咱們常見的HTTP、HTTPS、TCP等協議進行抓包分析，還能對工業上的BACnet、ModBus、S7Communication和其餘PLC協議進行報文抓包分析。如這位大佬就經過抓包破解了西門子PLC沒有公開的協議。
但願有興趣的朋友能夠一塊兒來完善IoTClient組件。

參考

• https://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html
• https://www.jianshu.com/p/d3725391af59
• http://www.javashuo.com/article/p-zqmaiqar-kb.html