網路抓包分析軟體

A. 適合Windows7的網路抓包工具有哪些

1、sniffer

嗅探器是一種監視網路數據運行的軟體設備，協議分析器既能用於合法網路管理也能用於竊取網路信息。網路運作和維護都可以採用協議分析器:如監視網路流量、分析數據包、監視網路資源利用、執行網路安全操作規則、鑒定分析網路數據以及診斷並修復網路問題等等。非法嗅探器嚴重威脅網路安全性，這是因為它實質上不能進行探測行為且容易隨處插入，所以網路黑客常將它作為攻擊武器。

2、wireshark

Wireshark(前稱Ethereal)是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並盡可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面，直接與網卡進行數據報文交換。

3、WinNetCap

使用WinPcap開發包，嗅探流過網卡的數據並智能分析過濾，快速找到所需要的網路信息(音樂、視頻、圖片等)。

4、WinSock Expert

這是一個用來監視和修改網路發送和接收數據的程序，可以用來幫助您調試網路應用程序，分析網路程序的通信協議(如分析OICQ的發送接收數據)，並且在必要的時候能夠修改發送的數據。

B. 有哪些抓包工具

第五名：TCPDump（網路類）

根據白帽子黑客抓包工具的使用率，將TCPmp排在第五的位置。

第一名：BurpSuite (web 報文)

BurpSuite是現在Web安全滲透的必備工具。

它是一個集成平台，平台中匯集了可以用來攻擊web應用的工具，這些工具有很多介面，共享一個擴展性比較強的框架。

C. 怎麼安裝網路抓包工具Ethereal

Wireshark抓包軟體：Wireshark（前稱Ethereal）是一個網路封包分析軟體。網路封包分析軟體的功能是擷取網路封包，並盡可能顯示出最為詳細的網路封包資料。

Connectify Hotspot軟體：能夠將電腦的無線網卡變身為無線路由器共享無線網路的軟體

帶無線網卡的Windows電腦

軟體名稱：Connectify Pro 破解版 v6.0.0.28615 [附序列號]軟體大小：6.45MB更新時間：
配置Connectify Hotspot

軟體名稱：Wireshark(網路包分析工具) 捕獲網路數據包 V1.12.1
步驟：

1、兩款軟體安裝完成後，運行Connectify Hotspot，打開右下角的Connectify Hotspot窗口，設置Password，等下在iPhone上我們要用此密碼驗證。第二個Internet to Share要選擇Windows電腦的無線網卡，我這里直接顯示的是Wi-Fi。然後Share Over同樣選擇Wi-Fi。下面一項是加密方式，這跟設置無線路由器的加密方式一樣。這里使用默認的WPA2。然後點擊Start Hotspot按鈕就可以將這台Windows電腦的無線網卡變身成一個無線路由器了。

iPhone連接Connectify Hotspot

1、Connectify Hotspot成功運行後，打開iPhone手機，進入設置 - 無線區域網。這里就會看到一個新的無線網路，如圖名為Connectify-me。點擊它，然後輸入我們在Connectify Hotspot上設置的密碼就可以連接了。

2、連接成功後可以在iPhone上打開瀏覽器試著打開一個網頁，看能否打開。如果能夠打開，就說明成功了。

用Wireshark抓包獲取iPhone網路通訊數據

1、運行Wireshark，在窗口上點擊Interface List，看哪張網卡正在發送和接受數據包的，從Packets那一項可以看出。點擊網卡前面的選擇框選中，然後點Start按鈕開始抓包。如下圖：

2、現在你就可以在iPhone上運行各種網路應用了，只要他們有網路通訊傳輸任何數據，Wireshark都可以截獲到這些數據。比如下圖就是我用iPhone的瀏覽器Safari訪問了一下Connectify的網站，Wireshark抓到的HTTP包。我使用了http過濾器，只顯示了所有的HTTP包。這樣我們就成功地使用Wireshark抓取到了iPhone的網路數據了。

D. 抓包工具有哪些

你在編程的時候才需要做抓包操作，你沒有必要專門下載一個工具，你只要使用chrome瀏覽器會自動的帶一款工具，而且非常有用。

E. 四大網路抓包神器，總有一款適合你~

無論是開發還是測試，在工作中經常會遇到需要抓包的時候。本篇文章 主要介紹如何在各個平台下，高效的抓包。

目前的抓包軟體總體可以分為兩類：

一種是設置代理抓取http包，比如Charles、mitmproxy這些軟體。

另一種是直接抓取經過網卡的所有協議包，其中最出名就是大名鼎鼎的wireshark以及linux自帶的抓包軟體tcpmp。

下面重點介紹一下這四個抓包工具的特點以及使用。

wireshark想必大多數程序員都不會陌生。wireshark在各個平台都可以安裝使用，它 可以抓取經過指定網卡的所有協議。 wireshark雖然很強大，但是對初學者其實不是很友好。

這也正是由於它太強大，它可以抓取所有包，所以初學者在使用時面對茫茫數據流不知所措。初學者需要認真的去學習怎麼過濾得到自己感興趣的包，但是如果不熟悉wireshark的過濾語法，要過濾數據包將舉步維艱。

過濾語法簡單介紹

wireshark的過濾語法總結起來其實也很簡單，就是 以協議開頭，後面可以跟著協議的屬性，然後加上一些判斷符號， 比如contains、==、>、<等等。比如只想展示http的協議內容，則直接在過濾器輸入框中輸入http即可。

如下圖：

比如我 只想看http協議的請求頭中uri包含』/api』的協議，就可以這么寫：

如果想通過目標ip或者來源ip來過濾包，就不可以以http協議為前綴了，因為這些是ip協議的相關屬性。 通過目標ip來過濾可以這么寫：

上面表示目標機器的ip是61.135.217.100並且協議是http的包。

wireshark支持很多種協議，我們可以通過右上角的expression來打開搜索支持的協議，還可以找出協議支持的屬性，然後填入期待的值，軟體會自動為我們構建過濾語句。

優點：

功能強大，可以抓取所有協議的包

抓到的包容易分析

缺點：

由於線上伺服器沒有GUI，只有命令行，因此無法在線上伺服器使用

無法分析https數據包，由於wireshark是在鏈路層獲取的數據包信息，所以獲取到的https包是加密後的數據，因此無法分析包內容。當然，我們可以對https數據包進行解密， 但是操作具有一定的復雜度，可能要消耗很多時間。

tcpmp是linux上自帶的一個抓包軟體(mac也有)，功能強大，也可以抓取經過指定網卡的所有協議包。

由於是命令行工具，tcpmp抓取到的包不易於分析，一個常見的做法是將tcpmp抓到的包輸出到某個文件，然後將文件拷貝下來用wireshark分析。

一些簡單的過濾參數：

抓包內容輸出到文件：

之後我們可以把test.cap直接用wireshark打開，就可以很直觀的分析包了。

用tcpmp輸出cap文件包：

tcpmp-r test.cap

Charles是一款http抓包工具，它是通過代理來實現的抓包。也就是我們在訪問網頁時需要配置代理，將代理指向Charles監聽的埠，之後我們的http請求都會發向Charles的埠，之後Charles會幫我們轉發並記錄協議內容。

Charles的使用非常簡單，配置好代理後，Charles就開始抓包了。

我們可以直接通過Charles的GUi查看包的內容：

上圖中的unknown表示https加密後的數據，所以看到不協議的具體內容。我們可以通過安裝Charles的證書，讓Charles也可以查看https協議的具體內容。

優點 :

使用簡單，只需配置一下代理地址就可以

要抓取https協議的配置也很簡單，只要安裝下charles的證書就可以了

mitmproxy是python寫的一款http抓包工具，雖然只支持http抓包，但是它的特性非常強大，它不僅可以抓包，還可以對請求進行攔截、重現等操作。和Charles一樣，它的原理也是基於代理，使用的時候需要設置代理指向它。

mitmproxy是命令行工具，但是也自帶了mitmweb工具，可以讓用戶在網頁上操作。另外，mitmproxy還支持用戶自行編寫插件，可以編寫腳本對請求進行處理，然後把修改後的請求發出去。

1、安裝 

首先需要在機器安裝python3以及pip3.之後通過pip3安裝

pip3 install mitmproxy

如果安裝mitmproxy過程中報錯MoleNotFoundError: No mole named '_ssl'，就需要安裝一下OpenSSL，然後再重新編譯安裝一下python3。

安裝好openSSL後再執行pip3 install mitmproxy

2、使用 

安裝後，直接在命令行輸入mitmproxy就會進入它的交互界面：

這時候mitmproxy已經開始監聽8080埠(默認)，接著，我們可以去瀏覽器設置代理。瀏覽器設置代理的方式有很多,這里不多做介紹。

設置完代理後，訪問瀏覽器的請求都會被發到mitmproxy上，mitmproxy根據規則對請求進行攔截(不配置攔截規則的話則都不攔截)，所有經過的請求都會被輸出：

在交互界面上可以通過快捷鍵操作請求。輸入問號』?』，可以查看快捷鍵的文檔。

3、下面介紹一些常用的快捷鍵和功能

① 請求過濾  

在請求列表交互界面，按下f鍵後，可以輸入一些過濾規則：

具體的過濾語法可以按下』?『鍵後，再按下方向鍵右』—>』或者l鍵。

② 請求攔截 

按下i鍵後，可以對指定的請求進行攔截。按mitmproxy收到指定條件的請求時，不會立馬把它轉發出去，而是等待我們執行resume操作後，才會把請求轉發出去——在這期間我們甚至可以對請求進行手動修改。

紅色字體表示該請求被攔截，之後我們可以按入a鍵來恢復該請求，可以輸入A鍵恢復所有被攔截的請求。

③ 查看/編輯請求 

把指示游標移動到某個請求上，按回車可以查看請求的內容。或者滑鼠直接點擊請求也可以。

之後通過左右方向鍵可以查看request、response、detail等信息。

如果要編輯請求，可以在這個界面輸入e，然後會讓我們選擇編輯哪塊內容：

之後就會進入vim編輯界面編輯相應的內容了（保存後會生效）。

④ 重發請求 

mitmproxy的游標指向某個請求時，按下r鍵可以重發這個請求(重發前可以對該請求進行編輯)。

按下』:』鍵後，可以輸入命令，這樣我們就可以通過過濾規則批量的重發請求

replay.client是mitmproxy內置的一個命令，我們也可以自行編寫命令。命令的編寫可以參考官網文檔，這里不做介紹。

⑤ 插件開發 

我們可以編寫插件，然後再啟動的時候指定插件，mitmproxy處理請求的時候會執行一個插件的鏈，這樣我們就可以對請求進行編輯然後再發送出去了。

借用官網的插件demo：

這個方法對每一個請求進行處理，然後列印序號。通過mitmproxy -s test.py來讓插件生效。通過插件可以綁定各種連接事件。感興趣的朋友可以自行去mitmproxy官網看文檔，這里不多做介紹。

⑥ 保存抓到的請求數據 

通過w快捷鍵我們可以把這次抓到的請求包保存到文件上。

通過mitmproxy -r file可以讀取以前抓取的請求信息進行分析。

優點：

命令行操作，可以在無GUI界面的伺服器上使用

對於這幾個抓包神器，我總結了下使用場景：

只抓http協議的話：

推薦使用mitmproxy。mitmproxy豐富的功能不僅可以滿足我們的抓包需求，還可以提升我們的工作效率。比如測試可以抓包後一鍵重發請求來重現bug，開發調試的時候可以修改請求內容等等。

如果是在線上的沒有GUI的伺服器：

推薦使用tcpmp，雖然mitmproxy也可以支持命令行抓包，但是生產環境的伺服器最好不要亂安裝第三方插件。另外，大多數伺服器都有裝tcpmp。我們可以通過把請求的內容輸出到文件，然後拷貝會自己的電腦用wireshark分析。

想要抓取http以外的協議的話：

直接上wireshark。功能強大。對於Charles，感覺用了mitmproxy之後，就基本用不上Charles了。Charles好像也可以編輯後再發送，但是感覺不是很好用，可能我用的不是很熟吧。

F. 常用的網路抓包工具

抓包工具有：fiddler抓包工具、Charles抓包工具、Firebug抓包工具、httpwatch抓包工具、Wireshark抓包工具、SmartSniff 抓包工具。
1、fiddler抓包工具，是客戶端和服務端的http代理，客戶端所有的請求都要先經過fiddler，到響應的服務端，然後端返回的所有數據也都要經過fiddler，fiddler也是最常用的抓包工具之一。
2、Charles抓包工具也是比較常用的，和fiddler差不多，請求介面和返回數據的顯示方式不一樣，Charles是樹狀結構比較清晰，fiddler是按照時間倒敘排的。
3、Firebug抓包工具是瀏覽器firefox瀏覽器自帶插件，支持很多種瀏覽器，直接按f12,就可以打開，用起來比較方便。
4、httpwatch抓包工具是強大的網頁數據分析工具，安裝簡單，不需要設置代理和證書，但只能看不能修改，，集成在Internet Explorer工具欄。
5、Wireshark抓包工具很強大，可以捕捉網路中的數據，並為用戶提供關於網路和上層協議的各種信息。但是如果只是抓取http和https的話，還是用fiddler和Charles比較簡潔一點。
6、SmartSniff抓包工具是一款方便小巧的 TCP/IP 數據包捕獲軟體，網路監視實用程序。

G. 網路封包分析工具Charles

網路封包分析 即俗稱的 抓包 ，在 windows和Mac上都有各種軟體。

Charles 是在Mac下常用的截取網路封包的工具，為了調試與伺服器端的網路通訊協議，常常需要截取網路封包來進行分析。Charles是通過把自己設置成系統的 網路訪問代理伺服器 ，使得所有的網路訪問請求都通過它來完成，從而就可以實現了網路封包的截取和分析。

Charles 不是一個免費軟體，即需要購買，或者使用注冊碼進行注冊。當然了網上的破解版本也是很多的。

安裝SSL證書 ：如果你需要截取分析SSL協議相關的內容。

1.那麼需要安裝Charles的CA證書。具體步驟如下/如圖

Help ==> SSL Proxying ==> Install Charles Root Certificate

2.在 鑰匙串 ==> 系統 根證書中，雙擊此Charles CA證書，然後點擊選擇 始終信任

直接勾選 Proxy ==> macOS Proxy 即可實現對 Mac網路數據的請求獲取。

同樣如果在下面實現抓取手機iPhone請求的數據，以便不被 Mac 抓取到的數據干擾，可取消勾選, macOS Proxy

在實踐中，當手機和Mac的確處於一個WIFI無線的情況下，但是還是沒有出現抓取時，肯定是和當前的同處於一個路由器或者不同網關的其它網關有關系，切換到其它網路測試即可。

查看電腦IP地址: 查看ip地址方式可以通過終端直接輸入: ip en / 系統設置 ==> 網路即可查看到 Mac ip地址

配置Charles:在菜單欄上選擇 Proxy ==> Proxy Settings ，填入代理埠 8888 ，並勾上 Enable transparent HTTP proxying 即完成了代理

(查看證書位置: 設置 ==> 通用 ==> 關於本機 ==> 證書信任設置 即可查看剛剛通過瀏覽器自動安裝的信任證書)

在需要操作的介面地址上，加入斷點，在Charles截取到就可以實現 Request / Responds 數據的修改，這樣就實現了我們常說的，在不需要後台參與的情況下即可調試我們的各個介面和各種特殊情況了。