6.2.1.http analyzer
Download - IEInspector HTTP Analyzer - HTTP Sniffer, HTTP Monitor, HTTP Trace, HTTP Debughttps://www.ieinspector.com/httpanalyzer/download.html HTTP Analyzer 是一款实时捕捉分析 HTTP/HTTPS 协议数据的工具,可以显示许多信息(包括文件头、内容、Cookie、查询字符串、提交的数据、重定向的 URL 地址 ),可以提供缓冲区信息、清理对话内容、HTTP 状态信息和其他过滤选项。同时还是一个非常有用的分析、调试和诊断的开发工具。
只有windows版本
6.2.2.APP抓包分析
移动端 App 进行分析。App 抓包分析以 Android App 为例,iOS 的抓包分析大家可以自行探索,原理都是一样的。对 Android 应用进行抓包分析,使用的策略是在电脑上安装一个 Android 模拟器,将应用安装到模拟器中,这个时候Wireshark 的作用就体现了。
6.2.2.1.Wireshark
Wireshark 是一个开源的网络协议分析工具,它可以捕获和分析网络数据包。它支持多种操作系统,包括 Windows、Mac 和 Linux。
以下是 Wireshark 的一些主要特点和功能:
-
数据捕获:Wireshark 可以从网络接口捕获数据包,并将其显示在捕获窗口中。它支持各种网络接口,包括以太网、无线网络和虚拟接口。
-
数据包分析:Wireshark 提供了丰富的工具和过滤器,可以深入分析捕获到的数据包。它可以解析和显示各种协议,如 TCP、UDP、HTTP、DNS、SSL 等。用户可以查看每个数据包的详细信息,包括源地址、目标地址、协议类型、数据内容等。
-
重组分析:Wireshark 可以将分散在多个数据包中的相关数据重组成完整的对话。这对于分析分段的数据传输和断断续续的连接非常有用。
-
统计和图形化:Wireshark 提供了统计功能,可以生成各种网络流量、协议使用和时延等方面的统计信息。它还提供了图形化工具,可以通过图表和图形展示网络活动。
-
捕获和保存文件:Wireshark 允许用户将捕获到的数据包保存为文件,以便后续分析。它支持多种文件格式,包括 pcap、pcapng 和文本文件。
-
扩展性:Wireshark 支持使用插件扩展其功能。用户可以编写自定义的插件,以满足特定的需求。
Wireshark 是一个功能强大、灵活且易于使用的网络协议分析工具。它被广泛用于网络故障排除、安全审计、协议开发和教学等领域。无论是专业网络工程师、安全专家还是普通用户,都可以通过 Wireshark 来深入了解网络流量和协议的工作原理。
6.2.2.1.1.下载
(1)
https://www.wireshark.org/download.html
只有windows和macOS版
(2)linux
sudo add-apt-repository ppa:wireshark-dev/stable sudo apt update sudo apt install wireshark |
Wireshark 是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
6.2.2.1.2.使用
- 1 号框: 显示过滤器 ,用于过滤数据。
- 2 号框: 封包列表,显示捕获到的信息。
- 3 号框: 封包详细信息 ,用于显示详细信息。
- 4号框: 16 进制数据,使用 16 进制显示内容。
Wireshark 主要支持两种过滤器 :
- 捕捉过滤器: 用于决定将什么样的信息记录在捕捉结果中,需要在开始捕捉前设置。
- 显示过滤器: 在捕捉结果中进行详细查找,可以在得到捕捉结果后随意过滤。
捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的数据包文件。
显示过滤器是一种更为强大的过滤器, 它允许你在数据包文件中迅速准确地找到所需要的记录。
6.2.2.1.2.1.捕捉过滤器
设置捕捉过滤需的主要分为三步:
(1)菜单栏==》捕获==》捕获过滤器
(2) 点击【+】号,添加过滤条件
(3)点击确定按钮
☆ 捕捉过滤器的语法如下 :
Protocol Direction Host (s) Value Logical Operations Other expression |
中间用空格连接
- Protocol 代表着协议,可能的值: ether、fadi、ip、arp 、ramp 、decnet、lat、sca、moprc、mopdl、tcp and udp。如果没有特别指明是什么协议,则默认使用所有支持的协议。
- Direction 代表着数据包方向,可能的值: src、dst、src and dst、src or dst。如果没有特别指明来源或目的地,可以不用添加,Wireshark 默认使用"src or dst"作为关键字。
- Host(s)可能的值: net、port、host、portrange。如果没有指定此值,则默认使用 host关键字。例如,src 10.11.12.1 与 src host 10.11.12.1 含义相同。
6.2.2.1.2.2.显式过滤器
有时候经过捕捉过滤器后,数据包的数量还是很大,这个时候就要用到显示过滤器。它的功能比捕捉过滤器更为强大,可以更加细致地查找,而且修改过滤器条件时,并不需要重新捕捉一次,可以做到即时生效。
显式过滤器语法:
Protocol.String 1.String2 Comparison operator Value Logical Operations Oher expresSsion |
- Protocol (协议 ): 可以使用大量位于 OSI 模型第 2 至 7 层的协议。
- String1、String2: 这两个字段是可选项,这个是对协议子类的表述,可以对协议中的某个字段进行过滤。
- Comparison operators: 代表着比较运算符,有两种不同写法(英文写法,符合写法)
- Logical expressions: 代表逻辑运算符,同样有两种写法(英文写法,符合写法)