使用Wireshark捕获明文传输的账号密码

一、Wireshark简介
Wireshark是一款功能较全的开放源代码网络协议分析器，可以运行在UNIX和Windows上，并且拥有一个名为tethereal的命令行版本。Wireshark可以实时捕获经由网卡发送和接收的网络通信数据，可以通过图形界面浏览这些数据，可以查看每层协议的PDU中个字段的详细内容。Wireshark可以分析上百种协议的PDU格式。
WireShark 能够在网卡接口处捕捉数据包、并实时显示包的详细协议信息；能够打开/保存捕捉的包、导入导出其它捕捉程序支持的包数据格式；能够在网卡处有选择性捕捉数据包、在捕捉到的包中也可以有选择性的显示不同条件的数据包；还可以显示多种统计分析结果(比如TCP、UDP 流、各个协议层统计信息等)，同时扩展了大量的Ethereal(Wireshark 前身) 所不支持的协议，支持在UNIX 和Windows 平台下进行开发。

二、捕获步骤
（1） 打开本机自带的浏览器，在地址栏中输入登录网址202.113.18.***.
（2） 网页成功打开后，运行Wireshark，在捕获—选项中选择网卡，单机开始按钮开始捕包。
（3） 转到网关系统的登录界面，输入测试账号和密码，单击登录。
（4） 在Wireshark中单击捕获—停止按钮停止捕包，这时捕获了很多数据包，在显示过滤器中输入“http”后按“Enter”键，这时数据列表中会显示所有的HTTP报文。
（5） 在HTTP中，定义了客户端和服务器交互的不同方法，其中最基本的方法就是GET和POST。GET和POST这两种方法都能用于客户端向服务器提交数据，常用于用户向服务器提交请求的页面路径或者个人信息等，如用户登录信息。在数据包列表中选择info项有POST或者GET字样的数据包，数据详情栏如图所示

（６）在图中可以看出数据包列表中的包含POST的HTTP数据包显示了登录的账号为15*********，密码为6*********，说明账号和密码在网络中传输时是明文传输。

三、分析数据封装
（1）在数据包详情栏可以看出，第一部分Frame是指该数据包的整体信息，也就是数据链路层的帧，其中Protocol in frame 项显示了该数据包包含的各层协议。可以看出ＨTTP报文包含了四层协议；ETH,IP，TCP，HTTP。对照TCP/IP模型可知，底层数据链路层的协议是ETH，即以太网帧格式，网络层协议为IP，运输层协议为TCP，HTTP表示高层的应用协议为HTTP（超文本传输协议）。
（2）HTTP网页把网络数据分成大小适当的数据块，然后加上控制信息（如请求行，请求头部），封装成HTTP报文，传递给下一层的TCP。TCP加上端口号等控制信息（TCP首部），传递给IP。IP加上IP地址等IP首部信息，传递给以太网网卡。网卡再加上网卡地址（正规名为MAC地址或者物理地址）等信息，封装成以太网帧格式，发送到线路上。整个封装过程如下图所示。