計(jì)算機(jī)網(wǎng)絡(luò)如何抓包 ?

計(jì)算機(jī)網(wǎng)絡(luò)如何抓包?以下就是計(jì)算機(jī)網(wǎng)絡(luò)如何抓包等等的介紹，希望對您有所幫助。 ?

計(jì)算機(jī)網(wǎng)絡(luò)里抓包就是將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作，也用來檢查網(wǎng)絡(luò)安全等等。 ?

以Sniffer軟件為例說明：數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀(Frame)的單位傳輸?shù)?，幀由幾部分組成，不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動程序的軟件進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對其進(jìn)行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。 ?

每一個在局域網(wǎng)(LAN)上的工作站都有其硬件地址，這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器(這一點(diǎn)與Internet地址系統(tǒng)比較相似)。當(dāng)用戶發(fā)送一個數(shù)據(jù)包時，如果為廣播包，則可達(dá)到局域網(wǎng)中的所有機(jī)器，如果為單播包，則只能到達(dá)處于同一碰撞域中的機(jī)器。在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽”到通過的流量，但對不屬于自己的數(shù)據(jù)包則不予響應(yīng)(換句話說，工作站A不會捕獲屬于工作站B的數(shù)據(jù)，而是簡單地忽略這些數(shù)據(jù))。如果某個工作站的網(wǎng)絡(luò)接口處于混雜模式(關(guān)于混雜模式的概念會在后面解釋)，那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和幀。 ?

電腦是怎么抓包的 ?

抓包，就是通過軟件，檢測網(wǎng)卡所流通的數(shù)據(jù)。 ?

數(shù)據(jù)并不是像水一樣不停的傳輸?shù)?，而是分成一個包一個包的，每個數(shù)據(jù)包都有包頭，包頭內(nèi)記錄著發(fā)送方的ip 端口 接受方的ip 端口 以及數(shù)據(jù)包所使用的協(xié)議等等。包頭之后，才是我們要傳輸?shù)臄?shù)據(jù)，分析軟件就會將數(shù)據(jù)包由10組成的二進(jìn)制流翻譯為我們可以看懂的東西。像sniffer這種強(qiáng)大的軟件，可以直接將圖片都顯示出來。網(wǎng)管必備，在他檢測下，他所在網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)活動都可以被檢測到。 ?

但是隨著保密意識的增加，很多網(wǎng)絡(luò)活動都加密了。幾個月前的百度知道登陸是不用加密，如果用檢測軟件檢測你的電腦，抓包，就有可能抓到你的賬號密碼，現(xiàn)在不能了，已經(jīng)加密了! ?

如何查看抓包數(shù)據(jù) ?

對于標(biāo)準(zhǔn)的Http返回，如果標(biāo)明了Content-Encoding:Gzip的返回，在wireshark中能夠直接查看原文。由于在移動網(wǎng)絡(luò)開發(fā)中，一些移動網(wǎng)關(guān)會解壓顯式標(biāo)明Gzip的數(shù)據(jù)，以防止手機(jī)瀏覽器得到不能夠解壓的Gzip內(nèi)容，所以，很多移動開發(fā)者選擇了不標(biāo)準(zhǔn)的Http頭部。 ?

?

也就是說，Http返回頭部并沒有按標(biāo)準(zhǔn)標(biāo)Content-Encoding:Gzip屬性。這樣就導(dǎo)致在wireshark中無法直接查看。 ?

這時，將抓包得到的數(shù)據(jù)以raw形式存為文件，再使用UE以16進(jìn)制查看，去掉文件中非Gzip壓縮的數(shù)據(jù)，就可以將文件用Gzip解壓工具解壓后查看原文了。 ?

Gzip數(shù)據(jù)以1F8B開頭，可以以此來劃分文件中的Gzip和非Gzip數(shù)據(jù)。 ?

怎樣使用Wireshark抓包 ?

1、找到電腦上的Wireshark軟件，點(diǎn)擊啟動。 ?

2、在主頁面，可以看如圖。先選擇“Local Area Connection”，再選擇Start，進(jìn)行啟動。 ?

3、可以看到軟件已經(jīng)啟動，點(diǎn)擊紅色按鈕可以stop。 ?

4、如果只想看http的包，在輸入框里輸入http后，點(diǎn)擊apply。 ?

5、可以看到協(xié)議全部都是http了。 ?

6、如果想要重新檢測，查看包的發(fā)送情況，點(diǎn)擊此按鈕可以選擇重新啟動監(jiān)測。 ?

7、可以看到重啟后的發(fā)包情況。 ?

8、找到你想要監(jiān)測的那個包，右鍵選擇“Follow TCP stream”。 ?

9、可以看到包里面的詳細(xì)信息。 ?