計算機網(wǎng)絡(luò )如何抓包 ?

計算機網(wǎng)絡(luò )如何抓包?以下就是計算機網(wǎng)絡(luò )如何抓包等等的介紹，希望對您有所幫助。 ?

計算機網(wǎng)絡(luò )里抓包就是將網(wǎng)絡(luò )傳輸發(fā)送與接收的數據包進(jìn)行截獲、重發(fā)、編輯、轉存等操作，也用來(lái)檢查網(wǎng)絡(luò )安全等等。 ?

以Sniffer軟件為例說(shuō)明：數據在網(wǎng)絡(luò )上是以很小的稱(chēng)為幀(Frame)的單位傳輸的，幀由幾部分組成，不同的部分執行不同的功能。幀通過(guò)特定的稱(chēng)為網(wǎng)絡(luò )驅動(dòng)程序的軟件進(jìn)行成型，然后通過(guò)網(wǎng)卡發(fā)送到網(wǎng)線(xiàn)上，通過(guò)網(wǎng)線(xiàn)到達它們的目的機器，在目的機器的一端執行相反的過(guò)程。接收端機器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統幀已到達，然后對其進(jìn)行存儲。就是在這個(gè)傳輸和接收的過(guò)程中，嗅探器會(huì )帶來(lái)安全方面的問(wèn)題。 ?

每一個(gè)在局域網(wǎng)(LAN)上的工作站都有其硬件地址，這些地址惟一地表示了網(wǎng)絡(luò )上的機器(這一點(diǎn)與Internet地址系統比較相似)。當用戶(hù)發(fā)送一個(gè)數據包時(shí)，如果為廣播包，則可達到局域網(wǎng)中的所有機器，如果為單播包，則只能到達處于同一碰撞域中的機器。在一般情況下，網(wǎng)絡(luò )上所有的機器都可以“聽(tīng)”到通過(guò)的流量，但對不屬于自己的數據包則不予響應(換句話(huà)說(shuō)，工作站A不會(huì )捕獲屬于工作站B的數據，而是簡(jiǎn)單地忽略這些數據)。如果某個(gè)工作站的網(wǎng)絡(luò )接口處于混雜模式(關(guān)于混雜模式的概念會(huì )在后面解釋)，那么它就可以捕獲網(wǎng)絡(luò )上所有的數據包和幀。 ?

電腦是怎么抓包的 ?

抓包，就是通過(guò)軟件，檢測網(wǎng)卡所流通的數據。 ?

數據并不是像水一樣不停的傳輸的，而是分成一個(gè)包一個(gè)包的，每個(gè)數據包都有包頭，包頭內記錄著(zhù)發(fā)送方的ip 端口 接受方的ip 端口 以及數據包所使用的協(xié)議等等。包頭之后，才是我們要傳輸的數據，分析軟件就會(huì )將數據包由10組成的二進(jìn)制流翻譯為我們可以看懂的東西。像sniffer這種強大的軟件，可以直接將圖片都顯示出來(lái)。網(wǎng)管必備，在他檢測下，他所在網(wǎng)絡(luò )內的網(wǎng)絡(luò )活動(dòng)都可以被檢測到。 ?

但是隨著(zhù)保密意識的增加，很多網(wǎng)絡(luò )活動(dòng)都加密了。幾個(gè)月前的百度知道登陸是不用加密，如果用檢測軟件檢測你的電腦，抓包，就有可能抓到你的賬號密碼，現在不能了，已經(jīng)加密了! ?

如何查看抓包數據 ?

對于標準的Http返回，如果標明了Content-Encoding:Gzip的返回，在wireshark中能夠直接查看原文。由于在移動(dòng)網(wǎng)絡(luò )開(kāi)發(fā)中，一些移動(dòng)網(wǎng)關(guān)會(huì )解壓顯式標明Gzip的數據，以防止手機瀏覽器得到不能夠解壓的Gzip內容，所以，很多移動(dòng)開(kāi)發(fā)者選擇了不標準的Http頭部。 ?

?

也就是說(shuō)，Http返回頭部并沒(méi)有按標準標Content-Encoding:Gzip屬性。這樣就導致在wireshark中無(wú)法直接查看。 ?

這時(shí)，將抓包得到的數據以raw形式存為文件，再使用UE以16進(jìn)制查看，去掉文件中非Gzip壓縮的數據，就可以將文件用Gzip解壓工具解壓后查看原文了。 ?

Gzip數據以1F8B開(kāi)頭，可以以此來(lái)劃分文件中的Gzip和非Gzip數據。 ?

怎樣使用Wireshark抓包 ?

1、找到電腦上的Wireshark軟件，點(diǎn)擊啟動(dòng)。 ?

2、在主頁(yè)面，可以看如圖。先選擇“Local Area Connection”，再選擇Start，進(jìn)行啟動(dòng)。 ?

3、可以看到軟件已經(jīng)啟動(dòng)，點(diǎn)擊紅色按鈕可以stop。 ?

4、如果只想看http的包，在輸入框里輸入http后，點(diǎn)擊apply。 ?

5、可以看到協(xié)議全部都是http了。 ?

6、如果想要重新檢測，查看包的發(fā)送情況，點(diǎn)擊此按鈕可以選擇重新啟動(dòng)監測。 ?

7、可以看到重啟后的發(fā)包情況。 ?

8、找到你想要監測的那個(gè)包，右鍵選擇“Follow TCP stream”。 ?

9、可以看到包里面的詳細信息。 ?