1,wireshark介绍
2,基础使用总结
3,抓一个ping的icmp包
4,综合抓取pc端应用程序包
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 ——百度百科
简单地说就是一款强大的抓包软件,功能十分多;行业应用广泛;且开源,免费
首先进入到第一个界面,因为Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换,所以需要选择我们要抓取的接口网卡,我这里笔记本连的是WiFi,所以就选WLAN网卡
进入之后便会直接开始捕获数据包
这个是开始,暂停和重新抓取,设置捕获网卡的选项,从这个可以进行开始和暂停等操作
通过另存为可以将本次捕获的所有数据包存为一个本地文件: 当然,只能通过wireshark打开
这个是wireshark的过滤框,在框内需要输入正确的过滤语法(类似于SQL语句一样的关联性语句)可以从海量的包中分析出我们所感兴趣的包:
过滤地址
ip.addr==192.168.1.136 或 ip.addr eq 192.168.10.10 #过滤地址
ip.src==192.168.1.136 #过滤源地址
ip.dst==192.168.1.136 #过滤目的地址
过滤协议,直接输入协议名
icmp
http
过滤协议和端口
tcp.port==80
tcp.srcport==80
tcp.dstport==80
过滤http协议的请求方式
http.request.method=="GET"
http.request.method=="POST"
http.request.uri contains admin #url中包含admin的
http.request.code==404 #http请求状态码的
连接符
&&
||
and
or
通过连接符可以把上面的命令连接在一起,比如:
ip.src==192.168.1.136 and http.request.method=="POST"
这一块就是我们当前捕获的包,右侧有一块类似于sublime的预览条方便查看。捕获的时间和顺序可以随意调整,也可以增加分类类别
这一栏是当前包(在wireshark里面每一个捕获的包美其名曰:分组,正同学术话语里面分组转发一个道理)的一些属性的匹配值;
这个就是当前包的源hex文件了,需要反编译数据可以从这里截获源数据(正经的)
因为有一些数据较大(每个包最大长度只有65535byte)所以需要多个包才能组成一个数据块,所以当我们想查看全部数据流的时候,在这儿右键: 这边可以选择查看格式(这是一首还没下完的雷子的《南方姑娘》)
从这儿可以看到专家信息,就是那些红红绿绿的包条(黑色代表未成功发送的包)
先重新登一下wireshark,清空记录;然后打开cmd
先开始抓包,然后开始ping ......
ping完之后暂停抓包,在筛选栏中输入:
ICMP
可以看到,ping了四次,每一次一个请求一个相应,总共八个包;
查看这两个包可以看到众多详细信息;
一首本地没有缓存的歌曲,我们在线播放的话肯定是要从服务器端接收数据,然后在本地进行渲染才能播放出来的;
我们需要先知道网易云音乐这个app的进程号;
首先在cmd中查看:
tasklist | findstr net
最后试了试cloud才出来,这里是有三个进程,获取了进程号PID后再继续查看:
只有第一个进程号是由对应ip收发数据的;
然后打开捕获开关,然后播放加载一会歌曲:
几秒钟就快一万个包了,现在我们开始根据刚才获得的信息筛选:
这是通过刚才获得的端口号筛选出来的:
但是: 我这一首歌加载了这么久少说15MB,你就给我6个包,每个一两百字节?
继续查看所有的包,我发现了在加载歌曲的时间段出现了大量相同协议(443端口)大数据长度的可疑包:
追踪TCP流后发现每一个流的长度相等:1712KB,一个流两个包
我们一首歌15MB当然一个包是不可能一次性传完的,需要多批次大量的包发送与接收才能够接受完成整首歌,所以我就大胆的猜测这个就是痛仰《再见杰克》里面的其中一个数据流,一个确认包一个数据包,组成了一个数据流;
让我们细细的品一下这个包:
我们家宽带是联通的,所以这个包是从上一个联通路由器转发而来的
之前在网上搜索wireshark博客的时候发现早在17年的时候就有小伙伴成功截获了网易云未加密的数据包,并在本地存储后用浏览器打开...很明显的侵权啊,别人那么多独立音li乐zhi人维权那么辛苦你tm抓个包就把别人歌曲下载下来了这让丁磊手下的程序员们很没面子,估计是现在进行了一套加密操作,重新指定数据流传递协议,使其变为不可破解的数据;
也算是用技术为中国的独立音乐向前迈进了一个大台阶吧,知识产权相当重要呢~
丁磊还是有点东西的