修改wireshark协议解析规则

不同的协议有不同的解码器,wireshark尝试为每个包尝试找到正确的解码器,特定的情况有可能会选择错误的解码器。 1.使用了其它协议的标准端口,被错误解码,使用udp的80端口发送数据被当作QUIC协议解析。 wireshark菜单“Analyze–>Enabled Protocols…” 打开”Enabled Protocols”对话框,可以解析的协议

Continue reading »

未获取root手机抓包方法

没有root的android不能使用类似shark的APP抓包,以下两个不root抓包的方法供参考 未获取root的Android手机抓包方法1:连接PC开启的WIFI PC开启WIFI热点共享,然后手机连接到此虚拟WIFI,pc上使用wireshark选择对应网卡抓包。 win7以上系统可以直接设置开启WIFI共享,使用360wifi类似软件或硬件未尝试能否抓到包。 win 7开启WIFI热点共

Continue reading »

java程序引用jNetPcap抓包的方法

jNetPcap是libpcap的一个Java完整封装,通过jni对libpcap的封装,用于网络数据包捕和分析,数据包解码功能支持多种协议。jNetPcap支持windows、LINUX、android等系统。

jNetPcap官网:http://www.jnetpcap.com/

eclipse中使用jNetPcap库的方法:

1.首先安装winpcap/lipcap,windows系统安装winpcap,unix为基础的系统安装lipcap。

Continue reading »

wireshark过滤含有/不返回xxx的http包

时常需要寻找一些特殊的http包,例如不返回文件大小的url、含有cookie的请求包等。 不返回文件大小,就是http响应头中没有content_length,wireshark抓包过滤响应头中不包含content_length的包即可:!http.content_length 但这个条件的过滤结果还不够精简,建议使用: ! http.content_length&& http.

Continue reading »
NetworkMiner

提取上传和下载文件的工具:NetworkMiner

网络上NetworkMiner被定义为网络取证分析工具、协议分析工具,它通过数据包嗅探或解析PCAP文件进行网络分析。NetworkMiner是windows平台开放源代码的工具。

这里最看重的一点是:NetworkMiner能够从网络通信中提取文件,这项功能可以将get方式下载和post方式上传的数据包保存到本地。有了这个软件就可以查看本地程序从网络下载了什么文件,上传了什么文件,文件内容是什么。

Continue reading »

wireshark中查看http请求的响应消息/状态码

今天被问到了一个简单的问题,wireshark中怎么查看指定http请求对应的状态码? 点两下鼠标就可以解决:在需要查看响应/请求消息的捕获记录上点击右键,右键菜单中选择“Follow Tcp Stream”,弹出的窗口即可看到这条请求建立和关闭的过程。 这时捕获列表内的数据包既是这条请求的全过程,更换成原来的过滤条件即可返回原来的捕获列表。“Follow Tcp Stream”类似的udp/ss

Continue reading »

Fiddler过滤指定域名

Fiddler过滤指定域名的方法一

切换到fiddler右侧窗口的Filters选项卡,勾选顶部的“Use Filters”,找到Hosts区域,设置以下三个选项:

1.第一项有三个选项:
“No zone filter” 不设置此项
“Show Only Intranet Hosts”只过滤本地局域网
“Show Only Internet Hosts”只过滤因特网

Continue reading »