計算機網(wǎng)絡如何抓包 ?

計算機網(wǎng)絡如何抓包?以下就是計算機網(wǎng)絡如何抓包等等的介紹，希望對您有所幫助。 ?

計算機網(wǎng)絡里抓包就是將網(wǎng)絡傳輸發(fā)送與接收的數(shù)據(jù)包進行截獲、重發(fā)、編輯、轉存等操作，也用來檢查網(wǎng)絡安全等等。 ?

以Sniffer軟件為例說明：數(shù)據(jù)在網(wǎng)絡上是以很小的稱為幀(Frame)的單位傳輸?shù)模瑤蓭撞糠纸M成，不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡驅(qū)動程序的軟件進行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達它們的目的機器，在目的機器的一端執(zhí)行相反的過程。接收端機器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會帶來安全方面的問題。 ?

每一個在局域網(wǎng)(LAN)上的工作站都有其硬件地址，這些地址惟一地表示了網(wǎng)絡上的機器(這一點與Internet地址系統(tǒng)比較相似)。當用戶發(fā)送一個數(shù)據(jù)包時，如果為廣播包，則可達到局域網(wǎng)中的所有機器，如果為單播包，則只能到達處于同一碰撞域中的機器。在一般情況下，網(wǎng)絡上所有的機器都可以“聽”到通過的流量，但對不屬于自己的數(shù)據(jù)包則不予響應(換句話說，工作站A不會捕獲屬于工作站B的數(shù)據(jù)，而是簡單地忽略這些數(shù)據(jù))。如果某個工作站的網(wǎng)絡接口處于混雜模式(關于混雜模式的概念會在后面解釋)，那么它就可以捕獲網(wǎng)絡上所有的數(shù)據(jù)包和幀。 ?

電腦是怎么抓包的 ?

抓包，就是通過軟件，檢測網(wǎng)卡所流通的數(shù)據(jù)。 ?

數(shù)據(jù)并不是像水一樣不停的傳輸?shù)模欠殖梢粋€包一個包的，每個數(shù)據(jù)包都有包頭，包頭內(nèi)記錄著發(fā)送方的ip 端口 接受方的ip 端口 以及數(shù)據(jù)包所使用的協(xié)議等等。包頭之后，才是我們要傳輸?shù)臄?shù)據(jù)，分析軟件就會將數(shù)據(jù)包由10組成的二進制流翻譯為我們可以看懂的東西。像sniffer這種強大的軟件，可以直接將圖片都顯示出來。網(wǎng)管必備，在他檢測下，他所在網(wǎng)絡內(nèi)的網(wǎng)絡活動都可以被檢測到。 ?

但是隨著保密意識的增加，很多網(wǎng)絡活動都加密了。幾個月前的百度知道登陸是不用加密，如果用檢測軟件檢測你的電腦，抓包，就有可能抓到你的賬號密碼，現(xiàn)在不能了，已經(jīng)加密了! ?

如何查看抓包數(shù)據(jù) ?

對于標準的Http返回，如果標明了Content-Encoding:Gzip的返回，在wireshark中能夠直接查看原文。由于在移動網(wǎng)絡開發(fā)中，一些移動網(wǎng)關會解壓顯式標明Gzip的數(shù)據(jù)，以防止手機瀏覽器得到不能夠解壓的Gzip內(nèi)容，所以，很多移動開發(fā)者選擇了不標準的Http頭部。 ?

?

也就是說，Http返回頭部并沒有按標準標Content-Encoding:Gzip屬性。這樣就導致在wireshark中無法直接查看。 ?

這時，將抓包得到的數(shù)據(jù)以raw形式存為文件，再使用UE以16進制查看，去掉文件中非Gzip壓縮的數(shù)據(jù)，就可以將文件用Gzip解壓工具解壓后查看原文了。 ?

Gzip數(shù)據(jù)以1F8B開頭，可以以此來劃分文件中的Gzip和非Gzip數(shù)據(jù)。 ?

怎樣使用Wireshark抓包 ?

1、找到電腦上的Wireshark軟件，點擊啟動。 ?

2、在主頁面，可以看如圖。先選擇“Local Area Connection”，再選擇Start，進行啟動。 ?

3、可以看到軟件已經(jīng)啟動，點擊紅色按鈕可以stop。 ?

4、如果只想看http的包，在輸入框里輸入http后，點擊apply。 ?

5、可以看到協(xié)議全部都是http了。 ?

6、如果想要重新檢測，查看包的發(fā)送情況，點擊此按鈕可以選擇重新啟動監(jiān)測。 ?

7、可以看到重啟后的發(fā)包情況。 ?

8、找到你想要監(jiān)測的那個包，右鍵選擇“Follow TCP stream”。 ?

9、可以看到包里面的詳細信息。 ?