网络抓包工具及其原理

常见的网络抓包工具大体上按照抓包节点可以分成两类：

一种是通过 代理中间服务 截取协议包，例如Whistle，Charles，Fiddler，miniproxy一种是在网卡链路层截取数据包，例如warshark, tcpdump

还有像，Chrome浏览器的调试工具，这种属于工具本身内置的能力。

根据其实现方式，它们的能力界限各有特点。下面是一个大致的比较:

总结：

通过以上的比较，大体上，这几个主流的抓包工具基本上可以满足我们日常的抓包需求

抓包工具能力图：

6.反向代理

反向代理在本地端口上创建一个 Web 服务器，该服务器透明地将请求代理到远程 Web 服务器。反向代理上的所有请求和响应都可能记录在 Charles 中。

如果您的客户端应用程序不支持使用 HTTP 代理，或者您想避免将其配置为使用代理，则反向代理非常有用。创建到原始目标 Web 服务器的反向代理，然后将客户端应用程序连接到本地端口；反向代理对客户端应用程序是透明的，使您能够查看 Charles 中以前可能无法查看的流量。

7 端口转发。

可以使用代理工具配置tcp/udp协议的端口转发 内网渗透中的端口转发

网络数据收发是一个数据流，我们要查看数据包的细节，一般的方法是，在客户端和服务器之间进行截获。

一般有两种方式：

一种是设置代理抓取http包，比如Charles、mitmproxy这些软件。

另一种是直接抓取经过网卡的所有协议包，其中最出名就是大名鼎鼎的wireshark以及linux自带的抓包软件tcpdump。

参考文档:

如何查到自己下载的抓包软件

1、首先，打开电脑，进入桌面，在桌面找到应用商店，点击打开。

2、其次，打开之后，在应用商店页面，点击右上角的箭头标志，然后点击下载管理。

3、最后，在下载管理中，点击已安装软件，然后即可查到抓包软件。

常用的抓包工具都有哪些？

常用的抓包工具有：fiddler抓包工具、Charles抓包工具、Firebug抓包工具、httpwatch抓包工具、Wireshark抓包工具、SmartSniff 抓包工具。

1、fiddler抓包工具，是客户端和服务端的http代理，客户端所有的请求都要先经过fiddler，到响应的服务端，然后端返回的所有数据也都要经过fiddler，fiddler也是最常用的抓包工具之一。

2、Charles抓包工具也是比较常用的，和fiddler差不多，请求接口和返回数据的显示方式不一样，Charles是树状结构比较清晰，fiddler是按照时间倒叙排的。

3、Firebug抓包工具是浏览器firefox浏览器自带插件，支持很多种浏览器，直接按f12,就可以打开，用起来比较方便。

4、httpwatch抓包工具是强大的网页数据分析工具，安装简单，不需要设置代理和证书，但只能看不能修改，，集成在Internet Explorer工具栏。

5、Wireshark抓包工具很强大，可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。但是如果只是抓取http和https的话，还是用fiddler和Charles比较简洁一点。

6、SmartSniff抓包工具是一款方便小巧的 TCP/IP 数据包捕获软件，网络监视实用程序。

扩展资料：

抓包工具在我们工作中主要用在：

A：抓取发送给服务器的请求，观察下它的请求时间还有发送内容等等；

B：去观察某个页面下载组件消耗时间太长，找出原因，要开发做性能调优；

C：或者我们去做断点或者是调试代码等等。

抓包工具所具备的几个功能：

1）它提供类似Sniffer的包分析功能，可以帮助我们详细拆分IP结构内容，带我们深入的了解TCP/IP协议；

2）它可以用来分析软件占用端口及通讯情况比重的工具；

3）它可以让我们从海量IP数据包中，找出我们需要的IP数据包，还能通过用户端的情况，帮助我们能截获各类敏感数据包。

有哪些抓包工具？

第五名：TCPDump（网络类）

根据白帽子黑客抓包工具的使用率，将TCPdump排在第五的位置。

TCPdump

TCPdump功能很强大，能够搞到所有层的数据。Linux作为路由器和网关这种网络服务器时，就少不了数据的采集、分析工作。而TCPdump恰好是一种功能强大的网络数据采集分析工具。

简单来说就是，可以根据用户的定义来截获网络上数据包的包分析工具。

TCPdump的功能和截取策略，捕获了高级系统管理员的芳心，成为其分析和排除问题的一种必备工具。

第四名：Wireshark（网络类）

Wireshark（前称Ethereal）是一个网络封包分析软件，是***的一种图形化的抓包工具，而且在Windows、Mac、Linux等三种系统中都有合适的版本。

Wireshark

Wireshark可以被用来检测网络问题、资讯安全问题、学习网络协定相关的知识，或者为新的通讯协定除错。它是白帽子黑客、网络管理员、安全工作人员的必备工具之一。

第三名：HttpWatch（Web报文）

HttpWatch在IE浏览器的工具栏中，是功能比较强大的一种网页数据分析工具，而且能够收集显示较为深层的信息。

它不依赖于代理服务器、网络监控工具，就可以将网页和网页请求信息、日志信息同时显示。另外，它还可以显示一些交换信息。

fiddler

第二名：Fiddler(web报文)

Fiddler是白帽子黑客最经常使用的，是可以进行http协议调试的一种web报文渗透工具。

它可以记录电脑联网的所有通讯，可以查看所有“出入”Fiddler的cookie, html, js, css等数据。并且优点是使用起来非常简单。

***名：BurpSuite (web 报文)

BurpSuite是现在Web安全渗透的必备工具。

它是一个集成平台，平台中汇集了可以用来攻击web应用的工具，这些工具有很多接口，共享一个扩展性比较强的框架。

抓包工具有哪些

抓包工具有哪些？

1.

Wireshark抓包工具 Wireshark(前称Ethereal)是一个网络封包分析软件...

2.

MiniSinffer MiniSniffer(网络嗅探器)一个小巧的网络抓包工具(嗅探器)...

3.

WSExplorer WSExplorer 是个简单实用的网络抓包工具,相比上个版本更人性化了,新版上在界面上进行了优化和添加了过滤功能。

4.

iptool iptool网路抓包工具是一款好用的网络抓包工具,使用方法很简单,...

了解过网络安全技术的人都知道一个名词“抓包”。那对于局外人，一定会问什么是抓包？考虑到，大家的技术水平不一，我尽可能用非专业的口吻简单的说一下。

抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。黑客常常会用抓包软件获取你非加密的上网数据，然后通过分析，结合社会工程学进行攻击。所以，学会抓包，对于学好网络安全技术十分重要。

在我们做接口测试的时候，经常需要验证发送的消息是否正确，或者在出现问题的时候，查看手机客户端发送给server端的包内容是否正确，就需要用到抓包工具。而工程师和程序常用的抓包工具有哪些呢？今天我们就来简单聊一聊最常用的2种。

Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容。

总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。

一、Fiddler

当启动fiddler，程序将会把自己作为一个代理，所以的http请求在达到目标服务器之前都会经过fiddler，同样的，所有的http响应都会在返回客户端之前流经fiddler。

Fiddler可以抓取支持http代理的任意程序的数据包，如果要抓取https会话，要先安装证书。

Fiddler的工作原理

Fiddler 是以代理web服务器的形式工作的,它使用代理地址:127.0.0.1, 端口:8888. 当Fiddler会自动设置代理， 退出的时候它会自动注销代理，这样就不会影响别的程序。不过如果Fiddler非正常退出，这时候因为Fiddler没有自动注销，会造成网页无法访问。解决的办法是重新启动下Fiddler.

Fiddler 如何捕获Firefox的会话

能支持HTTP代理的任意程序的数据包都能被Fiddler嗅探到，Fiddler的运行机制其实就是本机上监听8888端口的HTTP代理。Fiddler2启动的时候默认IE的代理设为了127.0.0.1:8888，而其他浏览器是需要手动设置的，所以将Firefox的代理改为127.0.0.1:8888就可以监听数据了。

Firefox 上通过如下步骤设置代理

点击: Tools - Options, 在Options 对话框上点击Advanced tab - network tab - setting.

Firefox 中安装Fiddler插件

修改Firefox 中的代理比较麻烦， 不用fiddler的时候还要去掉代理。推荐你在firefox中使用fiddler hook 插件, 这样你非常方便的使用Fiddler获取firefox中的request 和response，当你安装fiddler后，就已经装好了Fiddler hook插件，你需要到firefox中去启用这个插件打开firefox tools-Add ons - Extensions 启动 FiddlerHook

F

四大网络抓包神器，总有一款适合你~

无论是开发还是测试，在工作中经常会遇到需要抓包的时候。本篇文章 主要介绍如何在各个平台下，高效的抓包。

目前的抓包软件总体可以分为两类：

一种是设置代理抓取http包，比如Charles、mitmproxy这些软件。

另一种是直接抓取经过网卡的所有协议包，其中最出名就是大名鼎鼎的wireshark以及linux自带的抓包软件tcpdump。

下面重点介绍一下这四个抓包工具的特点以及使用。

wireshark想必大多数程序员都不会陌生。wireshark在各个平台都可以安装使用，它 可以抓取经过指定网卡的所有协议。 wireshark虽然很强大，但是对初学者其实不是很友好。

这也正是由于它太强大，它可以抓取所有包，所以初学者在使用时面对茫茫数据流不知所措。初学者需要认真的去学习怎么过滤得到自己感兴趣的包，但是如果不熟悉wireshark的过滤语法，要过滤数据包将举步维艰。

过滤语法简单介绍

wireshark的过滤语法总结起来其实也很简单，就是 以协议开头，后面可以跟着协议的属性，然后加上一些判断符号， 比如contains、==、、等等。比如只想展示http的协议内容，则直接在过滤器输入框中输入http即可。

如下图：

比如我 只想看http协议的请求头中uri包含’/api’的协议，就可以这么写：

如果想通过目标ip或者来源ip来过滤包，就不可以以http协议为前缀了，因为这些是ip协议的相关属性。 通过目标ip来过滤可以这么写：

上面表示目标机器的ip是61.135.217.100并且协议是http的包。

wireshark支持很多种协议，我们可以通过右上角的expression来打开搜索支持的协议，还可以找出协议支持的属性，然后填入期待的值，软件会自动为我们构建过滤语句。

优点：

功能强大，可以抓取所有协议的包

抓到的包容易分析

缺点：

由于线上服务器没有GUI，只有命令行，因此无法在线上服务器使用

无法分析https数据包，由于wireshark是在链路层获取的数据包信息，所以获取到的https包是加密后的数据，因此无法分析包内容。当然，我们可以对https数据包进行解密， 但是操作具有一定的复杂度，可能要消耗很多时间。

tcpdump是linux上自带的一个抓包软件(mac也有)，功能强大，也可以抓取经过指定网卡的所有协议包。

由于是命令行工具，tcpdump抓取到的包不易于分析，一个常见的做法是将tcpdump抓到的包输出到某个文件，然后将文件拷贝下来用wireshark分析。

一些简单的过滤参数：

抓包内容输出到文件：

之后我们可以把test.cap直接用wireshark打开，就可以很直观的分析包了。

用tcpdump输出cap文件包：

tcpdump-r test.cap

Charles是一款http抓包工具，它是通过代理来实现的抓包。也就是我们在访问网页时需要配置代理，将代理指向Charles监听的端口，之后我们的http请求都会发向Charles的端口，之后Charles会帮我们转发并记录协议内容。

Charles的使用非常简单，配置好代理后，Charles就开始抓包了。

我们可以直接通过Charles的GUi查看包的内容：

上图中的unknown表示https加密后的数据，所以看到不协议的具体内容。我们可以通过安装Charles的证书，让Charles也可以查看https协议的具体内容。

优点 :

使用简单，只需配置一下代理地址就可以

要抓取https协议的配置也很简单，只要安装下charles的证书就可以了

mitmproxy是python写的一款http抓包工具，虽然只支持http抓包，但是它的特性非常强大，它不仅可以抓包，还可以对请求进行拦截、重现等操作。和Charles一样，它的原理也是基于代理，使用的时候需要设置代理指向它。

mitmproxy是命令行工具，但是也自带了mitmweb工具，可以让用户在网页上操作。另外，mitmproxy还支持用户自行编写插件，可以编写脚本对请求进行处理，然后把修改后的请求发出去。

1、安装 

首先需要在机器安装python3以及pip3.之后通过pip3安装

pip3 install mitmproxy

如果安装mitmproxy过程中报错ModuleNotFoundError: No module named '_ssl'，就需要安装一下OpenSSL，然后再重新编译安装一下python3。

安装好openSSL后再执行pip3 install mitmproxy

2、使用 

安装后，直接在命令行输入mitmproxy就会进入它的交互界面：

这时候mitmproxy已经开始监听8080端口(默认)，接着，我们可以去浏览器设置代理。浏览器设置代理的方式有很多,这里不多做介绍。

设置完代理后，访问浏览器的请求都会被发到mitmproxy上，mitmproxy根据规则对请求进行拦截(不配置拦截规则的话则都不拦截)，所有经过的请求都会被输出：

在交互界面上可以通过快捷键操作请求。输入问号’?’，可以查看快捷键的文档。

3、下面介绍一些常用的快捷键和功能

① 请求过滤  

在请求列表交互界面，按下f键后，可以输入一些过滤规则：

具体的过滤语法可以按下’?‘键后，再按下方向键右’—’或者l键。

② 请求拦截 

按下i键后，可以对指定的请求进行拦截。按mitmproxy收到指定条件的请求时，不会立马把它转发出去，而是等待我们执行resume操作后，才会把请求转发出去——在这期间我们甚至可以对请求进行手动修改。

红色字体表示该请求被拦截，之后我们可以按入a键来恢复该请求，可以输入A键恢复所有被拦截的请求。

③ 查看/编辑请求 

把指示光标移动到某个请求上，按回车可以查看请求的内容。或者鼠标直接点击请求也可以。

之后通过左右方向键可以查看request、response、detail等信息。

如果要编辑请求，可以在这个界面输入e，然后会让我们选择编辑哪块内容：

之后就会进入vim编辑界面编辑相应的内容了（保存后会生效）。

④ 重发请求 

mitmproxy的光标指向某个请求时，按下r键可以重发这个请求(重发前可以对该请求进行编辑)。

按下’:’键后，可以输入命令，这样我们就可以通过过滤规则批量的重发请求

repl***.client是mitmproxy内置的一个命令，我们也可以自行编写命令。命令的编写可以参考官网文档，这里不做介绍。

⑤ 插件开发 

我们可以编写插件，然后再启动的时候指定插件，mitmproxy处理请求的时候会执行一个插件的链，这样我们就可以对请求进行编辑然后再发送出去了。

借用官网的插件demo：

这个方法对每一个请求进行处理，然后打印序号。通过mitmproxy -s test.py来让插件生效。通过插件可以绑定各种连接事件。感兴趣的朋友可以自行去mitmproxy官网看文档，这里不多做介绍。

⑥ 保存抓到的请求数据 

通过w快捷键我们可以把这次抓到的请求包保存到文件上。

通过mitmproxy -r file可以读取以前抓取的请求信息进行分析。

优点：

命令行操作，可以在无GUI界面的服务器上使用

对于这几个抓包神器，我总结了下使用场景：

只抓http协议的话：

推荐使用mitmproxy。mitmproxy丰富的功能不仅可以满足我们的抓包需求，还可以提升我们的工作效率。比如测试可以抓包后一键重发请求来重现bug，开发调试的时候可以修改请求内容等等。

如果是在线上的没有GUI的服务器：

推荐使用tcpdump，虽然mitmproxy也可以支持命令行抓包，但是生产环境的服务器***不要乱安装第三方插件。另外，大多数服务器都有装tcpdump。我们可以通过把请求的内容输出到文件，然后拷贝会自己的电脑用wireshark分析。

想要抓取http以外的协议的话：

直接上wireshark。功能强大。对于Charles，感觉用了mitmproxy之后，就基本用不上Charles了。Charles好像也可以编辑后再发送，但是感觉不是很好用，可能我用的不是很熟吧。

抓包软件的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于抓包软件会泄露个人信息吗、抓包软件的信息别忘了在本站进行查找喔。