为什么需要抓包
有时候需要分析一些软件的网络请求过程,分析一些有价值的信息.
操作步骤
手机连接到电脑分享的WiFi上
1. 选择监听目标网卡
我的是电脑上通过猎豹分享了一个热点给手机.
2. 通过分享WiFi热点的软件找到手机的ip
3. 在Wireshark上过滤这个ip
按照IP过滤
ip.addr == 192.168.191.2
ip.addr == 192.168.191.2 and ssl
ip.addr == 192.168.191.2 and tcp.stream
ip.addr == 192.168.191.2 and tcp.port==443
按照源IP过滤
ip.src==192.168.191.2
ip.srceq192.168.191.2
按照目标IP过滤
ip.dst==125.65.81.187
查看发给187的port==443上的数据
ip.dsteq125.65.81.187 and tcp.port ==443
看一下来回的数据
ip.dst == 192.168.191.2 or ip.src == 192.168.191.2
手机直接通过tcpdump抓包
这个方式有几个局限:
1. 需要root手机
2. 需要安装tcpdump
3. 收集tcpdump的抓包数据文件
3. 数据文件传到电脑需要通过wireshark分析
确认一下淘宝小蜜有没有心跳
0. 尽量干掉手机中的其它联网app
1. 打开小蜜的页面
2. 文本框中输入一些文本
3. 网络准备好之后直接回车
4. 等待10分钟然后暂停
5. 保存数据并且分析和本地ip通信的对应IP
dig通过ip反查域名
dig +noall +answer -x 140.205.193.59
;; *noall*和*answer*参数表示只显示查询结果.
;;不一定能查出来,这个依赖ISP.
暂时没有想到好的办法来反查域名,或者确定一些数据.但是基本上可以断定小蜜走的是https.
因为从抓包的数据交互上看到的ip和等待中的ip地址不同.
总结
通过抓包大概能看出小蜜的通信方式是https.
环境和工具
window 7
wireshark
猎豹WiFi