wireshark怎么抓包ssl

哎，各位伙伴大家好啊，我是今天滔滔不绝聊技术的技术分享人张涛。今天呢跟大家聊一个关于网络的东西，有时候呢，我们做一下网络的基础装包实验， 首先抓网络或者抓网络包呢，我们必须要使用个工具叫 tcp 档吧，我现在的机器呢，呃，大家可以去看一下啊，死机了，里面网络断了，我重新连一下，嗯，我把刚才的给关闭掉。 好，体育档，现在这已经有了，当然这么多包呢，都是我们不需要的，我再开一个， 我再开一把放到这里，待会我们把抓的号下 下来。首先在抓包之前呢，我们要指定我们要抓哪个网卡的包，怎么看网盘呢？看网卡的 ipad 点二前面的 eth 零就表示这是网卡的名称。 我们今天做的实验呢，是非常简单的，我们就抓一个 http 的一个写一包就可以了，所以啊， tcp 档拨起起来，杠 i 指定，网卡名杠 w 指定。我们把它写到什么地方去，比如说 p 看好了， ok， 现在呢，他就开始抓包了，此时此刻我们登录进去，我们模拟呢，请求一下，百度 为什么不用 htps 呢？这是因为 htp 呢是铭文的，我们看铭文就够了。 ok， 可以看到啊，我们已经补货了三百四十九个包啊，同时呢啊，写进去了啊，就是通过我们的这 feelt， 然后呢写接收了三百五十二个包，现在都已经写到了啊，探鹏目录的 htb 点 pcove 文件， 我们现在把它给拿下来，看一下有没有 a 二在这里， ok， 好，下一步清除神器 we are shark， 走， 使用 vr。 上课的时候呢，我们直接去刚才下载的地方当烙的找 p 看文件，嗯，六点三十八，对，就选他。 现在这个大家看到呢，就是我们刚才大概一分钟左右，我们刷抓的包 多不多，对吧？很多很乱的，通过这种事，呃，这么乱的包呢，我们是没有办法对网络进行分析的，那我们怎么去分析呢？ 我的经验啊，我们呢既然是七层协议，我们首先先过滤一下七层协议，七层协议怎么过滤呢？很简单，我们考域名 a 是低于一点厚斯特，然后看他那死， 然后 i do 点 com ok， 看到没有？就剩一个了。为什么就剩一个呢？因为我们只有在这个包里面，我们才能看到他的后死的名称，其他的包呢，就跟后死的没关系了，我们看到的后死的，在这后死的三 w 还多点 com， 对吧？如果说我们把 contents 我们换成等于等于，哎，没有啊，为什么呢？就是因为 contents 呢，它是模糊匹配，而等于等于呢？它是精准匹配，如果我们要使用等于等于来筛选，怎么办呢？三 w ok， 对吧？一个效果，所以大家记住了啊。 contist 呢是模糊匹配，双等于呢，这是精准匹配，这是我们根据域名来做，我们同时呢也可以不根据域名，我们根据 myse 的，或者说是 uri 都可以。比如说我们看一下 我们现在七层协议呢，它是盖的请求，盖的请求呢，是在 request and reserve， 在这个这个属性里面是表示盖的，因为 i 呢，表示的是根，对不对？那我们换成 用 messer 怎么去做呢？ htv 点 request 点 messer 等于等于 get。 哦，这应该换成双等于 get， ok 就出来了啊，以此类推，伙伴可以试一下我们换成 u r i 啊， u r i 对吧？啊，其实也是都可以的， 红包呢，欢迎回去。那此时此刻呢，我们，嗯已经可以通过七层协议我们把包来筛选出来了，但是即便是我们通过刚才的，嗯，我们找找盖子吧， 就一个包，就一个包呢，我们是很难分析出有用的东西来的。我们去分析 tcp 网络包的 时候呢，嗯，单独的一个包没有什么太大的作用，一定要是根据他的上下文才能分析出来。那怎么去分析呢？也就是我们下面讲要看到的如何抓到属于这一个请求的所有的 pop。 这个时候我们靠 tcp 就不行了，我们应该啊，不是靠 htp 就不行了，我们呢应该需要靠 tcp， tcp 是怎么去做呢？展开第四层 找 stream index， 要找到这个鞋一号啊，这个这个号十一是怎么来的呢？ 如果大家去看一下啊 tct 的协议格式，你会发现他是没有这个十一的，那这个十一怎么算出来呢？这沈阳上可呢，为了方便我们用户去跟踪每一个流，他是基于五元组来算的。五元组指的什么呢？指的是原 ip， 目标 ip 原端口，目标端口再加个协议号这个里，嗯，在这五元组里面的协议号给去掉，那就剩下了原 ip 目标 ip 原端口和目标端口这四个对于一条链接来说呢，他是他是唯一可以确定的， 所以说哪边上可根据呃刚才左贴的四个属性进行相加运算，最后算出来一个属于这个流的一个独一的 id， 所以这啊，在当前这个十里面就是十一啊，如果伙伴你去做另外一个实验，那可能是另外一个值了， 那 ok， 我们拿到这个 id 值之后，我们怎么去进行筛选呢？两种方式我们先看第一种， t c p d s j， 嗯，十一，看到没有？我们十一啊，这周呢， 属于他的一个请求就出来了，这是第一种方式。第二种方式呢，我们把他给好清空在右键 回车啊，效果是一个样的啊，也就说呢，手敲和我们用右键啊，这是这两个作用是一模一样的。 那现在有这么多数据包了，我们是不是可以分析了呢？嗯，当然可以分析对不对？我们可以看到 s n a c k a c k 啊，就是三次握手都已经在这里了，然后啊，这是加 a c k 范啊， a c k 这数呢是四字挥手也有了， 那三四握手跟四子挥手都有了。其实呢，我们这么分析也是可以的，可是特别的不形象直观，我们还可以再进一， 这也是 vr 杀客所提供的非常强大的一个分析能力的一个体现。我们怎么去使用 vr 杀客的分析能力呢？我们在这里我们去选 flow graph， 通过 flograph 呢，大家可以看到，呃，幺七二点二幺点零点一六，这是刚才我们去抓包那台机器啊，这台机器呢，和其他 ip 的交互完全呢有途径化的展示出来了，但是这样展示，嗯，太乱了是不是？我怎么知道我刚才的请求在哪里呢 啊，当然我们可以通过啊，这些标红框的，我们可以大致看一下啊，可是你会发现这只是一分钟就有这么多包，如果我们抓上五分钟，或者请求再一多，靠这种啊标红的特征包来分析，这就是不可能了。所以说呢，大家会选一下 limit to display filter， 这个时候呢，就会把我们在这 tcp stream 等于十一啊，会把这个地方的啊 filter 呢给它应用一下就展示出来了， 所以通过他我们就可以非常形象直观的我们来看出我们这个当前这条链路啊，他是在什么时间点发起的什么样的请求，对方呢是怎么回的包就一目了然了啊，比如说我们简单看一下， 首先呢啊，作为客户端，我向呢幺幺零点二四，二点六八点四，这时呢是通过我本地 dns 解下来的百度的域名，我发现了一个 sn， 请求对方回 ack 啊，这时候呢，我又回个 ack， 三次，握手建立成功， ok， 我又发了一个盖的请求 球，然后对方呢啊开始对我的发的请求啊，一个回复你可以看到后面呢有个 doop a c k， 对不对？这说明呢，这是啊，对方回两副啊，回两次，应该是回 a c k 之后呢，我是没有给他回包，所以呢，他回两次 啊，包括后面也可以看到有个 tct 的乱序啊，这也是乱序，然后呢，这又是一个重复回报， 出现这种乱序和重复回报呢，嗯，最大的可能性呢，就是当前的网络质量不是特别好 啊，所以呢，在服务端也好，或者说客户端也好呢，发生了一些乱需，导致我们该回的 a c k 对方没有收到啊，过了一个超市时间之后呢，对方认为这个包已经丢了，所以说他会重新再发一次，嗯，所以通过这个图我们可以也可以做 看出来我们那个四四挥手，是不是啊？这样有 a c k， 有翻 s k， 也是在会 a c k， 如果说大家手里有一个 tcp 的创建，三次握手和四次挥手这样一个示意图，你就可以比对着这每一个流程啊，他的发起的内容 啊，和我们视频图当中一来一回啊，跟两个相互印照，这样的话，伙伴对整个 tp 的流程相对来说呢，会熟悉的很多。 好了，这是今天要跟大家分享的一个关于网络的一个小知识。呃，后面呢，我们还会继续维尔山河做出更多很好很有意思的一些实验。 好了，今天就到这里了，如果大家感觉这条视频有用的话，呃，欢迎分享给其他的伙伴，如果你有什么疑问的话，也欢迎在评论区留言，我看到话我就会及时回复大家。 ok， 今天就这些内容，嗯，好，祝大家学习愉快。

两分钟就能学抓包，今天呢给大家带来的是抓包技术啊，讲的一个怎么去抓网络，网络当中数据包，首先呢给大家去讲这个抓包就特别抓包，抓包其实讲的是我们网络中的 pdu， 这个 pdu 呢它的中文名称叫协议数据单元， 这个协议数据单元呢就是我们要抓的，所以我们找到抓包抓的其实就是他。那我今天给大家带的抓包工具呢，叫 maxx， 打开之后就是这样的，他的名称呢叫文下网络分析器，然后上面这个不用看，我们看下面这一块 就教大家怎么去用啊？看这款这一块呢，他这里有几个名词，一个叫微错 box， 这是一个虚拟级，这是我电脑的网卡，我们抓包抓的这个包呢是在我们电脑的硬件上来抓，就网卡抓，我们网卡发出去的消息，从网线发出去的可收到的消息，那么这个呢，他就 就是我的一个虚拟网卡，是虚拟机上的虚拟的虚拟网卡，在下面这个叫易太网，这个是什么？这个是我的电脑真实的网卡，就是我们后面双角线所有连接的网红真实网打连接。那么再到下面呢，这个 vivo r， 那这两个也是虚拟网卡，只不过有一个虚拟网卡有数据，有一个没有，对吧？因为这个虚拟网卡正在使用，所以有数据啊， 下面的这个叫 yuanyuan， 是无线，就如果我先用无线上网的话，那么我这个就有数据，就会看到新建图标上，但我现在不用他，我用的是有线，所以以太网用他没有，还有本地连接，是吧？他也没有， 那我现在要抓。抓哪个呢？抓哪个？我现在真正上网用到的网卡是他，然后双击就可以了。

玩下可是一款抓包软件，可以对网络传输过程进行抓包，点击当当的可以进行下载，安装好即可使用。这是抓取的主播流，一般来说都是 npg ets 流，我们俗称马流，查看数据报文， 里面掺着了一些 aip、 豹纹，这些是影响主播卡顿的因素。我们在过滤框中输入 aip， 会过滤出全部的 aip 豹纹，可以看到基本是同一个马克定制，再发 arp 请求，我们俗称泛红， 使用原麦克地址进行过滤，再次查看这个麦克地址的 aip 请求，我们打开数据豹纹，以太网类型，凌晨零八零六，基本能确定是在泛红，根据麦克地址定位到设备位置，断开设备连接，便可以解决泛红故障。

肖老师，使用 what 抓取的数据包看起来很复杂呀，那我捕获了很多的豹纹，对吧？啊？嗯，你看我们刚才上网的过程中呢，抓取了很多的豹纹 啊，那有人说你这个豹纹怎么看呢？我们重要的是分析这个豹纹里面的结构，比如说我们看这个豹纹，那这个豹纹的话呢，它是分成了二层 mark 地址，三层的 rp 地址啊，四层的一个端口号啊，包括我们的应用层的协议，当然你去双击它也可以 啊，那么这个地方呢，能看得更清楚一些，这个编译过程就不用管 啊，编译过程就是这个豹纹里面携带的东西嘛，啊，携带的东西，因为有的时候他携带的如果是图片呀，或者音频呀这个软件啊，这个抓包软件他也解析不出来啊，所以这个呢， 呃，携带的如果是铭文的文字的话呢，都能看出来，对吧？但是其他东西呢，这边就显不显示了啊， 那我们重要的是分分分析出来啊，这个豹纹它的一个结构啊， 那比如说这是一个 http 的豹纹，对吧？啊，那这一块呢啊，就是我们要宰的这个货物嘛，啊，我们要宰的货物啊，那么它呢，就是我们的应用层啊，应用层的一个数据啊， 然后再往上一个层次呢，就是我们的啊，传输层了啊，这一块是传输层啊，那么传输层的端口号呢？他用的是一个 t c p 的端口啊，它是一个八零号端口，对吧？目的端口呢是八零语言端口号呢是五八六七七啊，那么至于里面的东西呢，可以暂时不用 管他啊，其实你展开之后，里面有好多东西，对吧？啊？有窗口大小呀，有 flag 位呀，这个不管他啊，你就按照我说的啊，你刚入行的时候对吧，刚入门的时候呢，你就记住端口就是了，那这些东西不重要， 一般情况下我们的网工呢，不需要去关心他，他是由程序自动完成的啊，一般情况下哈，一般情况下我们的网工呢，不用管他，等到你学到后期啊，你到这个中级或者高级的这工程师的时候呢，你再再去研究底下这一部分 啊，就是一般我们不用去操心底下这一块，他是由程序自动完成啊。那么关于这个端口我们为什么要关心呢？因为我们在呃对数据报文传输过程中，有的时候呢要进行控制吗？对吧？那么控制的 时候呢，很多就是拿这个端口来进行控制的啊，底下这些东西你网供你想改对吧？你也改不了啊，你说我们能不能网络公司啊，那么通过配置路由器的某一个命令对吧？啊，让他去基于底下这个字段啊，做什么什么样什么样的处理，对吧，这个也很难做嘛， 这时候程序自动完成了，不用管它啊，好，呃，这一块是我们的 r p 层哈，那么 r p 层呢，就是我们的这个网络层了啊，网络层啊，网络层最重要的是什么呢？是这个 r p 地址吗？对吧？原地址，目的地址 啊，这就是我们最重要的啊，我们的路由器就是看这个目的地址来转发报文的。当然这个网络层呢，其实除了 r p 地址之外还有很多其他的东西，比如说啊，版本号呀 啊，头部长度呀啊，用于 q o s 的这个，呃呃，各种字段呀，对吧？这是 d， s， c， p， v 啊，用于分片和重组的这个这些位，这些位你也不用管他啊，就是他也是程序自动完成啊。你就是你初级阶段哈，入入门阶段，不用去记这么多，你也记不住啊。 这里面其实如果跟你详细讲的话，估计可以讲上个一周哈。啊，比如这个是什么意思？这个什么意思？这个 flag 位里面三个位又是什么意思啊？这个估计可以给你讲一周啊， 初学者不用管 eta 网二层了，对吧？二层了啊， eta 网就比较简单了啊，就有这三个字段 啊，原地址啊，原 mark， 目的 mark， 然后是类型啊，好了，就是这一块哈。

啊，用户密码被盗，原来这么简单，大家有没有过这种苦恼？浏览器自动记住密码，但无法查看，烦死了啊！今天教大家如何通过 y r shock 快速找回密码。首先我们打开保存密码的登录界面， 然后点击登录，登录成功后，我们回到 wire shark 界面，点击选择 http 协议，然后点击打开这个选项， 接着点击 cookie， 这时你会发现两段代码，由泽 name 级代表用户名， password 则是登录密码。接下来我们退出，然后登录验证一下，输入我们刚刚抓取到的用户名和密 码，然后点击登录，搞定账号密码抓取成功。该方法仅限于 h t t p 协议非加密传输使用。大家还知道它有哪些作用？欢迎在评论区留言讨论，记得点赞关注哦！

y 二十二是一款抓包分析工具，可以捕获网络连接中的数据包，是世界上最常用的包。秀叹气这款软件是开源免费的， 五种常见系统都可以用。底层接口是 wincap， 大家安装接 nsp 的时候应该见过。软件可以实时捕获网络流量，并且对数据包进行过滤、排序和搜索，方便用户找到兴趣流量数据包捕获到之后会进行解码， 根据协议层次区分每个字段的含义。除了解读，还能还原重组出完整的应用层数据，比如 h t t p 请求 f t p 的文件等等。除此之外，还可以生成图表，帮助用户掌握流量趋势。总体来说，这款软件是网 供学习、研究网络结构、排除网络故障都会用到的一款必备软件，而且可以抓取通信流量的密码，比如 talent s n m p v 一这类名文，发送用户名密码的协议都可以通过 y r 十二个进行抓取。