手機數據抓包以及wireshark技巧


國內私募機構九鼎控股打造APP,來就送 20元現金領取地址:http://jdb.jiudingcapital.com/phone.html
內部邀請碼:C8E245J (不寫邀請碼,沒有現金送)
國內私募機構九鼎控股打造,九鼎投資是在全國股份轉讓系統掛牌的公眾公司,股票代碼為430719,為中國PE第一股,市值超1000億元。 

------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

原文地址: http://www.cnblogs.com/wangqiguo/p/4529250.html

本文主要討論一種非常方便的抓取Android和iphone手機網絡數據包的辦法,以及介紹wireshark最常用的技巧

抓包工具介紹

(1).網頁抓包工具

   Chrome瀏覽器插件

   FireBug 插件  

   HttpWatch

   Fiddler

   在瀏覽器chrome和firefox中可以使用插件抓取網絡包,httpwatch會以插件的形式安裝在IE和firefox瀏覽器中,對web請求進行抓包。而Fiddler則是一個獨立的程序,其原理是在啟動之后開啟對127.0.0.1:8888的端口進行監聽,並將計算機上的瀏覽器的代理設置為指向其監聽的8888端口,這樣當瀏覽器請求網頁的時候,會通過fiddler監聽的8888端口,這樣fiddler會獲取到所有請求的數據和web服務器回復的數據。Fiddler可以自動對IE和非IE瀏覽器的代理進行設置,打開fiddler之后,點擊IE的“工具”— “Internet選項”—“連接”選項卡 – 點開“局域網設置”  在彈出的對話框中你會發現 “代理服務器”設置中的“為LAN使用代理服務器”這個復選框是勾選上的,點擊下面的“高級”按鈕,可以看到代理服務器已經被設置為127.0.0.1:8888了。

如下圖:

1

1

對非IE瀏覽器的設置也是自動的,在fiddler的選項中可以看出來

點擊fiddler的菜單“Tools”—“Fiddler Options…” 可以看到如下圖:

點擊圖中的“Copy BrowserProxy Confiuration URL”得到一個路徑,也就是BrowserPAC.js的路徑,該文件是fiddler用來設置非IE瀏覽器的代理的,至於是什么原理,不太清楚,但是根據該js的注釋,以及fiddler選項鏈接的Tools tips提示,可以看出其作用就是設置非IE瀏覽器的代理的

這是fiddler軟件的智能之處,每當開啟fiddler軟件之后,他會自動對系統中安裝的瀏覽器進行代理設置,關閉fiddler之后,他也會還原這些瀏覽器的代理設置。

從這點上來講我覺得fiddler比httpwatch更加好用。而瀏覽器的插件也可以滿足大部分的web抓包需求。

(2).網絡抓包工具

   Wireshark

   Sniffer

   這類工具主要原理是通過底層驅動,監視網卡上流過的數據,而這個數據包含網絡上所有的數據,包括從鏈路層一直到最上層應用層的所有數據包。這種抓包工具獲取的網絡數據包是最全面的,可以抓獲除了http協議之外的其他數據包。針對網卡捕獲,不需要設置。

Wireshark手機抓包

從網絡上面搜索到的資料看,要抓取手機中app的網絡包有下面幾種方式:

(1).將tcpdump移植到Android平台,然后在命令行下啟動tcpdump進行抓包。Tcpdump程序實際上可以看作是wireshark的命令行版本,將該程序移植到Android平台直接抓包,這是一種最直接的抓包方式,然后將抓獲的數據包文件,從手機傳到windows系統上用wireshark打開進行分析,這種方式貌似不能用於蘋果手機。

(2).使用fiddler,在windows系統上打開fiddler軟件,該軟件會將我們的電腦變成一個代理,然后在手機上設置wifi網絡,將代理指定為開啟fiddler的那台電腦,並且端口設置為fiddler偵聽的8888端口,這時候使用手機訪問的數據,就會通過該代理,在fiddler中就可以看到http的數據包。這種方法我試了半天怎么都看不到數據包,不知道哪里出問題了,根據原理,這種方式支持可以通過代理訪問網絡的手機。所以從原理上說是支持Android和蘋果手機的。

(3).通過各種方式在pc電腦上建立wifi熱點,然后使用wireshark在pc電腦上監視該wifi熱點,通過手機連接該熱點訪問網絡。這樣wireshark會獲取所有流經該熱點的數據包這種方式適用於所有能夠無線訪問的手機,也就是說所有的Android和蘋果手機。

那么如何在pc電腦上建立wifi熱點呢,有這么幾種辦法:

(1).Win7電腦經過設置,可以將無線網卡設置為wifi熱點,這種方法我以前用過,可以成功,但是步驟繁瑣,而且不一定能夠成功,其他的windows系統估計就沒戲了。

(2).使用軟件自動建立wifi熱點,不需要自己手工配置,這樣的軟件有Connectify Hotspot,獵豹免費wifi,360免費wifi軟件,這幾個軟件我都使用過,比較好用,這種方式同樣也只能針對有無線網卡的筆記本電腦,原理也是將筆記本電腦上的無線網卡建立熱點了,只不過是軟件自動的,不需要人工設置,比方法1要方便。

注意:經過實驗發現,手機連接這種方式建立的熱點,所發送的數據,用wireshark去抓包,需要捕獲電腦上本身聯網的那個“網絡連接”,例如我的筆記本上面有一個“本地連接”,該連接是使用有線網絡的。我用獵豹免費wifi軟件建立一個熱點之后,我的電腦上多出一個“無線網絡連接3”,可以看到該“無線網絡連接3”是獵豹生成的,但是我抓包的時候,wireshark需要捕獲“本地連接”上的包,也就是我的手機訪問的數據實際上還是使用的“本地連接”,通信IP也是“本地連接”上的IP地址,而在手機的wifi連接設置中看到的ip地址,在我抓的包中也搜不到,也就是說手機通過該熱點訪問網絡,實際上還是使用的“本地連接”的IP地址,至於是什么原理,我目前也不太清楚。但是下面要說的隨身wifi硬件則與此不同,隨身wifi是建立了網卡。

(3).使用隨身wifi硬件。這種也是很方便的方法,而且比較穩定,對筆記本電腦和台式機都可以使用。我之前買了一個360的隨身wifi(不是打廣告,本人對360公司不感冒,但是他的隨身wifi做的確實還可以,同事中有買小米wifi的,不太穩定)。只要在360的官網上下載驅動,直接插上隨身wifi就可以使用,我推薦使用這種方法。

如果你用的是筆記本電腦可以使用方法2,如果是台式機器可以使用方法3。

下面重點說明,通過隨身wifi建立熱點,然后使用wireshark抓包的辦法,其他方式建立熱點抓包的原理一樣,只不過是建立熱點的方式不同而已,抓包過程沒有區別:

首先插入隨身wifi:

使用手機連接上面的wifi,然后打開“網絡和共享中心”,在里面點擊我們使用隨身wifi建立的網絡連接:

1

1

里面可以看到該鏈接的網卡物理地址,以及ipv6的地址信息,這應該是隨身wifi建立的一個網卡,之所以要查看這些信息,是因為我們要確定wireshark抓包的時候抓取那個網卡的信息,一般電腦上有多網卡或者是有虛擬機可能也會生成虛擬網卡。

打開wireshark,選擇菜單“Capture”—“Interface”在彈出的對話框中有一列是IP欄,可以看到除了本機的網絡連接以外,好像其他的網絡鏈接這一欄顯示的都是IPv6的地址,其中我們可以找到與上面網絡連接信息中匹配的IP地址:

1

還可以點擊該條目右邊的“Details”按鈕,打開詳細信息對話框,在“802.3(Ethernet)”選項卡中,可以看到網卡的物理地址,該物理地址與上面的網絡連接對話框中顯示的物理地址是對應的:

1

這樣可以確定我們需要抓取哪個網卡的數據,確定之后,直接點擊該條目的“Start”按鈕,使用連上該wifi的手機隨便訪問網絡,就可以抓取所有包了,如果嫌查看網卡信息麻煩,你可以把這幾個顯示有數據包的網卡都抓包試一下,就應該可以看出來隨身wifi對應的是那個網絡連接了。

在手機上查看連接該wifi被分配的IP地址信息:

1

在wireshark的抓包結果中,通過地址與http協議過濾出該地址172.24.160.3相關的數據包得到如下的結果:

1

這些數據是我在小米手機上,通過UC瀏覽器瀏覽博格園電腦版網頁抓獲的所有數據包。

對於iphone手機的抓包過程沒有任何區別。該方法可以抓獲所有發送自手機的數據包,包括http與非http的所有數據包。

個人認為這種方式非常簡單方便,抓取的數據包全面,而且通過隨身wifi設置熱點不需要任何繁瑣的配置,僅僅是安裝一個驅動而已,實際上隨身wifi好像是新建了一個網卡。我們只要用wireshark抓獲該隨身wifi建立的網卡的數據就可以了。對於從事app開發的園友來說19塊錢買一個wifi是非常值得的,這會為你的調試,以及研究別人的協議提供非常大的幫助。

Wireshark常用技巧

本節主要講解wireshark使用的一些常用的技巧,其實主要是使用過程中,用的最為頻繁的一些包的篩選規則。

Wireshark中有兩種過濾器:

(1).捕獲過濾器:告訴wireshark我們只需要捕獲滿足什么條件的包,而不滿足條件的包則不需要捕獲。由於捕獲過濾器是在wireshark在捕獲過程中采用的,所以捕獲過濾器的過濾條件最多局限在傳輸層的協議,也就是可以通過ip和端口指定規則,而更加上層的應用層協議則不能用在捕獲過濾器中。

語法: Protocol  Direction  Host(s)   Value  LogicalOperations  Other  expression

例子: tcp       dst              10.1.1.1  80     or             tcp   dst  10.2.2.2 3128

解釋:Protocol表示協議,Direction表示方向,Host指定IP地址,Value一般指定端口,可以使用邏輯操作連接其他的表達式來生成復合表達式。例如:

tcp dst port 8888

捕獲目的tcp端口為8888的包

ip src host 10.1.1.1

捕獲來源地址為10.1.1.1的包

host 10.1.1.1

捕獲目的或者來源地址為10.1.1.1的包

not icmp

捕獲除了icmp包的所有包

有關更多的捕獲過濾器請參考wireshark的文檔

(2).顯示過濾器:該過濾器是在已經抓到的包中篩選出自己想分析的數據包,也就是說該過濾器是在捕獲工作已經完成之后做的,其數據基礎就是已經捕獲到的那些數據包,該過濾器支持的協議就是wireshark能夠識別的所有協議,由於是在已經捕獲下來的包中進行篩選,所以該過濾器中的條件表達式可以支持所有的上層協議,其篩選條件也可以根據每個協議的不同部分進行篩選。下面以HTTP協議為例子:

3

查看所有http請求的數據包(包括GET,POST等等的請求,只要是web請求都算)

4

所有POST請求的數據包

5

所有請求的URL中包含字符串”.jpg”的包

6

所有http響應狀態碼為200的包

7

可以看到HTTP協議有很多字段提供篩選,wireshark還支持matches操作符,進行正則篩選

1

查找所有http請求URL中包含 /mvc/字符串並且請求的是帶參數的aspx頁面的包

關於各種協議的字段文檔可以查閱wireshark的文檔,都有詳細說明,包括協議的每個字段部分的含義。其實對於做app或者是web開發的來說常見的http篩選字段已經足夠用了

此外wireshark除了可以根據協議的每個字段的內容值進行篩選之外,還可以指定數據包中的第幾個字節的二進制數據值進行篩選,這種通過包中二進制數據進行篩選的方法一般在socket的私有二進制協議中比較有用,這些協議一般是私有定義的,並且是基於二進制的協議,例如第幾個字節表示什么意思,wireshark肯定是不能識別這些包的,那么我們可以自己根據二進制數據進行篩選

1

篩選出ip源或目標地址為172.16.1.126 並且udp端口為50798 並且rtp包的第2個字節的值是0xE0的包,這樣的包是rtp數據包一幀結束的包。

當然上面的例子我們是可以通過rtp協議的字段rtp.marker==1為條件來進行篩選的,舉上面的例子是為了說明如何根據包中的二進制數據值進行篩選。

Wireshark有非常強大的抓包與過濾功能,本節也僅僅列舉了其中最常用的篩選規則,在顯示過濾器的規則中wireshark可以根據每一層的協議進行篩選,例如網絡層(IP,ARP,ICMP等協議),傳輸層(TCP,UDP)等協議,應用層(HTTP,RTMP,RTSP等協議),各層協議的字段可以通過邏輯與(&&,and),或(||,or),非(|,not)等運算符連接成復合表達式進行過濾。

更加詳細的wireshark的過濾規則可以參考wireshark的官方文檔。

對博客園提點建議:上傳相冊的圖片要是能批量上傳就好了,每次寫篇文章,上傳十幾二十張圖片非常痛苦


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM