四大網(wǎng)絡(luò)抓包神器�,總有一款合適你
01概述
無(wú)論是開(kāi)發(fā)照舊測(cè)試,在事情中常常會(huì)碰到必要抓包的時(shí)分�。本篇文章主要先容如安在各個(gè)平臺(tái)下�,高效的抓包��。
現(xiàn)在的抓包軟件總體可以分為兩類(lèi):
- 一種是設(shè)置署理抓取http包��,好比Charles、mitmproxy這些軟件��。
- 另一種是直接抓取顛末網(wǎng)卡的一切協(xié)議包��,此中最出名就是學(xué)名鼎鼎的wireshark以及l(fā)inux自帶的抓包軟件tcpdump����。
底下重點(diǎn)先容一下這四個(gè)抓包東西的特點(diǎn)以及使用�。
02Wireshark
wireshark想必大大多步驟員都不會(huì)生疏。wireshark在各個(gè)平臺(tái)都可以安裝使用��,它可以抓取顛末指定網(wǎng)卡的一切協(xié)議��。wireshark固然很強(qiáng)壯��,但是對(duì)初學(xué)者但是不是很友好。
這也正是由于它太強(qiáng)壯����,它可以抓取一切包,以是初學(xué)者在使用時(shí)面臨茫茫數(shù)據(jù)流不知所措����。初學(xué)者必要仔細(xì)的去學(xué)習(xí)怎樣過(guò)濾取得本人感興致的包����,但是假如不熟習(xí)wireshark的過(guò)濾語(yǔ)法��,要過(guò)濾數(shù)據(jù)包將步履維艱����。
過(guò)濾語(yǔ)法簡(jiǎn)便先容
wireshark的過(guò)濾語(yǔ)法總結(jié)起來(lái)但是也很簡(jiǎn)便����,就是以協(xié)議開(kāi)頭,后方可以隨著協(xié)議的屬性�,然后加上一些推斷標(biāo)記����,好比contains��、==�、>��、<等等����。好比只想展現(xiàn)http的協(xié)議內(nèi)容����,則直接在過(guò)濾器輸入框中輸入http即可�。
如下圖:
好比我只想看http協(xié)議的哀求頭中uri包含’/api’的協(xié)議��,就可以這么寫(xiě):
假如想經(jīng)過(guò)目標(biāo)ip大概泉源ip來(lái)過(guò)濾包,就不成以以http協(xié)議為前綴了,由于這些是ip協(xié)議的干系屬性��。經(jīng)過(guò)目標(biāo)ip來(lái)過(guò)濾可以這么寫(xiě):
外表表現(xiàn)目標(biāo)機(jī)器的ip是61.135.217.100并且協(xié)議是http的包��。
wireshark支持很多種協(xié)議�,我們可以經(jīng)過(guò)右上角的expression來(lái)掀開(kāi)搜刮支持的協(xié)議��,還可以找出協(xié)議支持的屬性�,然后填入渴望的值�,軟件會(huì)主動(dòng)為我們構(gòu)建過(guò)濾語(yǔ)句。
優(yōu)點(diǎn):
- 功效強(qiáng)壯����,可以抓取一切協(xié)議的包
- 抓到的包容易分析
缺陷:
- 由于線上辦事器沒(méi)有GUI��,僅有下令行,因此無(wú)法在線上辦事器使用
- 無(wú)法分析https數(shù)據(jù)包��,由于wireshark是在鏈路層獲取的數(shù)據(jù)包信息����,以是獲取到的https包是加密后的數(shù)據(jù),因此無(wú)法分析包內(nèi)容。固然�,我們可以對(duì)https數(shù)據(jù)包舉行解密��, 但是利器具有一定的繁復(fù)度,約莫要斲喪很多時(shí)間。
03Tcpdump
tcpdump是linux上自帶的一個(gè)抓包軟件(mac也有)����,功效強(qiáng)壯����,也可以抓取顛末指定網(wǎng)卡的一切協(xié)議包��。
由于是下令行東西�,tcpdump抓取到的包不易于分析����,一個(gè)稀有的做法是將tcpdump抓到的包輸入到某個(gè)文件����,然后將文件拷貝下去用wireshark分析。
一些簡(jiǎn)便的過(guò)濾參數(shù):
抓包內(nèi)容輸入到文件:
之后我們可以把test.cap直接用wireshark掀開(kāi),就可以很直觀的分析包了����。
用tcpdump輸入cap文件包:
04Charles
Charles是一款http抓包東西����,它是經(jīng)過(guò)署理來(lái)完成的抓包����。也就是我們?cè)诎莺蚓W(wǎng)頁(yè)時(shí)必要設(shè)置署理,將署理指向Charles監(jiān)聽(tīng)的端口����,之后我們的http哀求都市發(fā)向Charles的端口����,之后Charles會(huì)幫我們轉(zhuǎn)發(fā)并紀(jì)錄協(xié)議內(nèi)容��。
Charles的使用十分簡(jiǎn)便��,設(shè)置好署理后,Charles就開(kāi)頭抓包了����。
我們可以直接經(jīng)過(guò)Charles的GUi查察包的內(nèi)容:
上圖中的unknown表現(xiàn)https加密后的數(shù)據(jù)����,以是看到不協(xié)議的具體內(nèi)容����。我們可以經(jīng)過(guò)安裝Charles的證書(shū)��,讓Charles也可以查察https協(xié)議的具體內(nèi)容����。
優(yōu)點(diǎn)
- 使用簡(jiǎn)便,只需設(shè)置一下署理地點(diǎn)就可以
- 要抓取https協(xié)議的設(shè)置也很簡(jiǎn)便��,只需安裝下charles的證書(shū)就可以了
05mitmproxy
mitmproxy是python寫(xiě)的一款http抓包東西�,固然只支持http抓包,但是它的特性十分強(qiáng)壯����,它不僅可以抓包��,還可以對(duì)哀求舉行攔阻、重現(xiàn)等利用����。和Charles一樣��,它的原理也是基于署理,使用的時(shí)分必要設(shè)置署理指向它����。
mitmproxy是下令行東西��,但是也自帶了mitmweb東西,可以讓用戶在網(wǎng)頁(yè)上利用�。別的����,mitmproxy還支持用戶自行編寫(xiě)插件����,可以編寫(xiě)腳本對(duì)哀求舉行處理,然后把修正后的哀求發(fā)射去����。
1、安裝
起首必要在機(jī)器安裝python3以及pip3.之后經(jīng)過(guò)pip3安裝
假如安裝mitmproxy歷程中報(bào)錯(cuò)ModuleNotFoundError: No module named '_ssl'�,就必要安裝一下OpenSSL��,然后再重新編譯安裝一下python3。
安裝好openSSL后再實(shí)行pip3 install mitmproxy
2��、使用
安裝后��,直接本人令行輸入mitmproxy就會(huì)進(jìn)入它的交互界面:
這時(shí)分mitmproxy以前開(kāi)頭監(jiān)聽(tīng)8080端口(默許)��,接著,我們可以去欣賞器設(shè)置署理�。欣賞器設(shè)置署理的辦法有很多,這里不多做先容����。
設(shè)置完署理后��,拜候欣賞器的哀求都市被發(fā)到mitmproxy上�,mitmproxy依據(jù)端正對(duì)哀求舉行攔阻(不設(shè)置攔阻端正的話則都不攔阻)�,一切顛末的哀求都市被輸入:
在交互界面上可以經(jīng)過(guò)快捷鍵利用哀求。輸入問(wèn)號(hào)’?’,可以查察快捷鍵的文檔����。
3�、底下先容一些常用的快捷鍵和功效
① 哀求過(guò)濾
在哀求列表交互界面��,按下f鍵后��,可以輸入一些過(guò)濾端正:
具體的過(guò)濾語(yǔ)法可以按下’?‘鍵后,再按下朝向鍵右’—>’大概l鍵。
②哀求攔阻
按下i鍵后,可以對(duì)指定的哀求舉行攔阻����。按mitmproxy收到指定條件的哀求時(shí)��,不會(huì)立馬把它轉(zhuǎn)發(fā)射去,而是等候我們實(shí)行resume利用后����,才會(huì)把哀求轉(zhuǎn)發(fā)射去——在這時(shí)期我們乃至可以對(duì)哀求舉行手動(dòng)修正。
赤色字體表現(xiàn)該哀求被攔阻,之后我們可以按入a鍵來(lái)規(guī)復(fù)該哀求��,可以輸入A鍵規(guī)復(fù)一切被攔阻的哀求�。
③ 查察/編纂哀求
把指示光標(biāo)挪動(dòng)到某個(gè)哀求上,按回車(chē)可以查察哀求的內(nèi)容。大概鼠標(biāo)直接點(diǎn)擊哀求也可以。
之后經(jīng)過(guò)支配朝向鍵可以查察request、response�、detail等信息����。
假如要編纂哀求����,可以在這個(gè)界面輸入e�,然后會(huì)讓我們選擇編纂哪塊內(nèi)容:
之后就會(huì)進(jìn)入vim編纂界面編纂相應(yīng)的內(nèi)容了(保存后會(huì)奏效)��。
④ 重發(fā)哀求
mitmproxy的光標(biāo)指向某個(gè)哀求時(shí)�,按下r鍵可以重發(fā)這個(gè)哀求(重發(fā)前可以對(duì)該哀求舉行編纂)��。
按下’:’鍵后��,可以輸入下令,如此我們就可以經(jīng)過(guò)過(guò)濾端正批量的重發(fā)哀求
replay.client是mitmproxy內(nèi)置的一個(gè)下令,我們也可以自行編寫(xiě)下令����。下令的編寫(xiě)可以參考官網(wǎng)文檔��,這里不做先容。
⑤ 插件開(kāi)發(fā)
我們可以編寫(xiě)插件,然后再啟動(dòng)的時(shí)分指定插件����,mitmproxy處理哀求的時(shí)分會(huì)實(shí)行一個(gè)插件的鏈��,如此我們就可以對(duì)哀求舉行編纂然后再發(fā)送出去了。
借用官網(wǎng)的插件demo:
這個(gè)辦法對(duì)每一個(gè)哀求舉行處理�,然后打印序號(hào)�。經(jīng)過(guò)mitmproxy -s test.py來(lái)讓插件奏效��。經(jīng)過(guò)插件可以綁定種種毗連事變��。感興致的伙伴可以自行去mitmproxy官網(wǎng)看文檔,這里不多做先容。
⑥ 保存抓到的哀求數(shù)據(jù)
經(jīng)過(guò)w快捷鍵我們可以把這次抓到的哀求包保存到文件上��。
經(jīng)過(guò)mitmproxy -r file可以讀取從前抓取的哀求信息舉行分析��。
優(yōu)點(diǎn):
- 下令行利用,可以在無(wú)GUI界面的辦事器上使用
06總 結(jié)
關(guān)于這幾個(gè)抓包神器�,我總結(jié)了下使用場(chǎng)景:
- 只抓http協(xié)議的話:保舉使用mitmproxy����。mitmproxy豐厚的功效不僅可以滿意我們的抓包需求��,還可以提升我們的事情聽(tīng)從�。好比測(cè)試可以抓包后一鍵重發(fā)哀求來(lái)重現(xiàn)bug����,開(kāi)發(fā)調(diào)試的時(shí)分可以修正哀求內(nèi)容等等
- 假如是在線上的沒(méi)有GUI的辦事器:保舉使用tcpdump,固然mitmproxy也可以支持下令行抓包�,但是消費(fèi)情況的辦事器最好不要亂安裝第三方插件��。別的,大大多辦事器都有裝tcpdump��。我們可以經(jīng)過(guò)把哀求的內(nèi)容輸入到文件�,然后拷貝會(huì)本人的電腦用wireshark分析。
- 想要抓取http以外的協(xié)議的話:直接上wireshark��。功效強(qiáng)壯�。關(guān)于Charles,以為用了mitmproxy之后�,就基本用不上Charles了��。Charles仿佛也可以編纂后再發(fā)送,但是以為不是很好用����,約莫我用的不是很熟吧�。
