抓包工具（如Charles）抓取Https数据包

1、HTTPS 不是单独的一个协议，它是 HTTP + SSL/TLS 的组合；

2、TLS 是传输层安全性协议，它会对传输的 HTTP 数据进行加密，使用非对称加密和对称加密的混合方式；

3、抓包工具的原理就是“伪装“，对客户端伪装成服务器，对服务器伪装成客户端；

4、使用抓包工具抓 HTTPS 包必须要将抓包工具的证书安装到客户端本地，并设置信任；

5、HTTPS 数据只是在传输时进行了加密，而抓包工具是接收到数据后再重新加密转发，所以抓包工具抓到的 HTTPS 包可以直接看到明文；

1、HTTPS 的数据是加密的，常规下抓包工具代理请求后抓到的包内容是加密状态，无法直接查看。但是，正如前文所说，浏览器只会提示安全风险，如果用户授权仍然可以继续访问网站，完成请求。因此，只要客户端是我们自己的终端，我们授权的情况下，便可以组建中间人网络，而抓包工具便是作为中间人的代理。

2、通常HTTPS抓包工具的使用方法是会生成一个证书，用户需要手动把证书安装到客户端中，然后终端发起的所有请求通过该证书完成与抓包工具的交互，然后抓包工具再转发请求到服务器，最后把服务器返回的结果在控制台输出后再返回给终端，从而完成整个请求的闭环。

HTTPS可以防止用户在不知情的情况下通信链路被监听，对于主动授信的抓包操作是不提供防护的，因为这个场景用户是已经对风险知情。要防止被抓包，需要采用应用级的安全防护，例如采用私有的对称加密，同时做好移动端的防反编译加固，防止本地算法被破解。

| Fiddler

此工具经典且强大，它提供电脑、移动端的抓包，包括http协议和https协议都可以捕获到报文并进行分析，可以设置断点调试、截取报文进行请求替换和数据篡改，也可以进行请求构造，还可以设置网络丢包和延迟进行APP弱网测试等，它的优势就是免费。

| Charles

此工具别名花瓶，它是通过代理实现的抓包，也就是我们在访问网页时配置代理指向Charles监听的端口，之后所有的请求它都会帮我们转发并记录，使用起来也非常简单，配置好代理后，Charles就开始抓包了，我们可以直接通过GUI查看包的内容。但有一点不太好，它是收费的，很多Mac用户都喜欢用这个软件。

| Hping

是最受欢迎和免费的抓包工具之一，允许你修改和发送自定义的ICMP、UDP、TCP和原始IP数据包。此工具由网络管理员用于防火墙和网络的安全审计和测试。其可用于各种平台，包括Windows、MacOs

X、Linux、FreeBSD、NetBSD、OpenBSD和Solaris。

| Ostinato

是一个开源和跨平台网络包生成器和分析工具，带有GUI界面，使其易于使用和理解。它支持Windows、Linux、BSD和Mac OS X平台。

| Wireshark

是一款超级厉害的抓包工具，是从事网络工程师必用工具，也是一款跨平台的工具，Windows、Linux、macOS都可以使用。它不仅可以分析http/https的数据，它还可以分析网络2层以上都可以看到，比如tcp的三次握手等，但是如果你只是分析http协议，可以不用这么专业的工具，以免增加筛选请求成本和学习成本。

| F12

是众多抓包工具中最简单、最轻量级的，因为它是浏览器内置的开发者工具来提供捕获浏览器的数据报文的功能。它免安装，直接打开浏览器就可以直接使用，所有使用非常好上手，适合入门级别的新手学习。

它主要针对HTTP协议和HTTPS协议，可以确认我们的网络数据包的一个状态，通过分析请求和响应报文里面的内容，分析出来请求数据和响应数据是否正确，定位问题是前端问题还是后端问题。而且F12作为浏览器的一部分，是数据收发的一端，抓取到的HTTPs报文是可以得到明文数据的;不过因为只能抓当前浏览器的收发报文，层次只能是在应用层Http(s)协议，不能抓取其他的数据报文。

这个很简单，直接在电脑上安装抓包软件wireshark，将电脑与路由器连接好，点开wireshark，开始采集，此时界面会弹出一个小窗口，需要你选择要抓包的网卡，你应该选择与路由器互联的网卡。准备就绪，直接登录web界面，wireshark会抓取到所有从选定网卡收发的报文了。

wireshark为什么抓不到dns数据包：

1因为响应问题: 1、大量重传: 重传很久对方才响应,正常的时候没有重传:可能是由于网络不稳定,在中间设备抓包查看丢包位置 大量重传和dup ack,链路中应该是有丢包,镜像流量方便排查 2、响应慢:查对方 TCP

2

建立连接失败: (以在负载均衡设备上抓包为例) 1、服务器无响应:(Performance L4类型VS,6-9号包客户端>F5

3

DOS问题: 由于当时受到单个用户同一源端口发的DNS包,高峰期在每秒125krps

fiddler抓包软件怎么看？

Fiddler是强大的抓包工具，它的原理是以web代理服务器的形式进行工作的，使用的代理地址是：127001，端口默认为8888，我们也可以通过设置进行修改。他的protocol就能让他搞http协议当然包含https什么的。

比如Wireshark比较强大，按照网络七层协议这个抓包能抓到数据链路层、网络层(networklayer)、传输层或应用层(applicationlayer)，但是就是因为太强大，非常复杂。会让我们看到一些很杂乱的东西比如SYN三次握手什么的，UDP流量啊QQ消息啊。

ctf竞赛用什么系统？

在大部分CTF比赛中最常用的环境是Linux系统，有时候也会用到VM虚拟机中的Windows。MacOS也可以拿来代替Linux。

在CTF中，取证赛题包括了文件分析、隐写、内存镜像分析和流量抓包分析。任何要求检查一个静态数据文件（与可执行程序和远程服务器不同）从而获取隐藏信息的都可以被认为是取证题（除非它包含了密码学知识而被认为是密码类赛题）。

取证作为CTF中的一大类题目，不完全包括安全产业中的实际工作，常见的与之相关的工作是事故相应。但即使在事故响应工作中，计算机取证也经常是执法部门获取证据数据和证物的工作，而非对防御攻击者或恢复系统感兴趣的商业事故相应企业。

与大多数CTF取证题目不同，现实生活中的计算机取证任务很少会涉及巧妙的编码、隐藏数据、层层嵌套的文件中的文件，或是其他脑洞类的谜题。很多时候刑事案件需要的是精心恢复一个被破坏的PNG文件，根据一张照片或QR码来解码获取包含NES只读内存镜像来输出证据的压缩包密码。也就是说，现实的取证需要从业者能够找出间接的恶意行为证据：攻击者攻击系统的痕迹，或是内部威胁行为的痕迹。实际工作中计算机取证大部分是从日志、内存、文件系统中找出犯罪线索，并找出与文件或文件系统中数据的关系。而网络（流量抓包）取证比起内容数据的分析，更注重元数据的分析，也就是当前不同端点间常用TLS加密的网络会话。

qnet是什么？

首先，qnet是腾讯WeTest开放平台最近推出了一款针对移动应用的弱网测试工具，各取其第一个字母缩写为qnet。

这款测试工具在解决了在Android设备上进行弱网络专项测试的痛点的同时，它的使用还无需ROOT手机、无需连接数据线，可以以独立app的方式为用户提供给快捷、可靠、功能完善的弱网络测试模拟服务。

另外，qnet还有一个很好用的功：TCP/UDP网络协议抓包。它能帮助开发和测试人员进行精确的网络流量分析，并不需要使用tcpdump进行抓包。

qent网络测试工具能够不借助PC或服务器，搭建一套完整的弱网测试环境，进行弱网络模拟测试，只需在任意智能手机上安装qnet网络测试工具就可以完成弱网络测试环境搭建工作，接下来只需根据需要选择的不同场景进行测试即可。

外网总是时断时不断？

1、检查网络设备、网线是否有损坏，排除了硬件设备故障。

2、检查内网是否经常有人大量下载或者使用P2P终结者等攻击软件。通过观察和走访发现也不是这个原因造成的，公司同事对电脑技术懂的很少，并且公司有明确规定，上班时间不允许看视频和下载东西。

3、检查内网是否存在网络病毒、网络攻击。使用sniffer抓包分析网络流量，发现内网充斥大量的异常数据，并且有ARP攻击、DDOS攻击。至此可以确定本次网络问题是由于内网攻击造成的。

确定了故障原因，下一步就是使用合适的解决办法。在使用了ARP防火墙、IP-MAC绑定之后，发现网络掉线依旧，并没有很好的改善。束手无策之际，一位师兄给我指明了方向，网络问题要用网络方法解决。

我查了大量资料，终于弄清了ARP攻击的原理：ARP不是病毒，而是一种“协议性攻击行为”，只所以称之为病毒，是因为目前ARP攻击工具的传播方式与发作现象已经愈来愈接近病毒。ARP（地址解释协议）是网络通信协议中的不可缺少的关键协议，它是负责将IP地址转换为对应MAC地址的协议。ARP的存在给了好事者可趁之机，但如果缺少了ARP协议，网络设备之间将无法进行通讯，这是为什么对ARP投鼠忌器的主要原因。

ARP病毒可分为两种，一种是ARP欺骗，一种是ARP攻击。ARP欺骗最先是黑客们偷盗网络账号使用的，后来被广泛用于类似网路岗、网络执法官之类的网络管理工具，被骗主机会将数据发送给伪装的主机，从而达到截获数据的目的。而ARP攻击纯粹是以破坏网络通讯为主要目的，发送虚假的ARP请求包或应答包，使得网络内所有主机都失去了有序的组织和联系。

ARP病毒的传播，必须有“肉鸡”，就是容易被感染的宿主机，通过得到宿主机的控制权来发送ARP欺骗、虚假的ARP请求包和应答包。由于没有明显的特征字以及ARP在网络通讯中的重要地位，防毒墙和防火墙应对ARP病毒也束手无策。所以从源头上堵住问题数据的流出，同时放行合法的ARP数据包，才是彻底摆脱ARP困扰的终极解决方案。

这是由于以太网协议存在漏洞造成的，也就是为什么ARP防火墙、360、IP-MAC绑定出现这么久之后，ARP攻击还是一直无法防治的原因，ARP防火墙、360防不了ARP攻击！

并且目前信息网络问题频出，掉线、网速慢、内网服务器访问缓慢等，很多并不在于网络设备的高级低级，也不在于防火墙、杀毒等手段的实施，它的根源就在于以太网协议存在先天漏洞、不擅长管理这两大弊端。一旦这个弊端被黑客利用，内网的每一台PC都可能成为攻击源，从内网发起攻击。而PC被感染的途径太多，访问网页、收邮件、聊天下载、移动笔记本、插U盘等等，都可能中招，防不胜防。统计数据表明，网络问题80%是内网引起的，就是这个原因。

目前的网络安全产品，防火墙、UTM防御外网对内网的攻击，杀毒软件保证单机安全，而防护内网的产品却很少。后来找到了一家专门针对内网基础安全、解决内网攻击的产品---免疫墙技术。

免疫墙能够将普通网络升级为免疫网络，从网络底层、每个终端上进行防控监测，不仅能防止本机不受攻击，还能拦截本机对外的网络攻击。安装在PC机上的免疫墙终端能够完成对MAC-IP的看守式绑定，彻底根除ARP病毒影响，即使本机中毒（删除本机的静态绑定列表），也不能对自身和网络造成影响。加固网络基础安全，填补以太网协议漏洞，能够彻底有效的解决内网攻击问题。

并且免疫墙的技术范围能够拓展到网络的最末端，深入到协议的最底层、盘查到外网的出入口、总览到内网的最全貌，使网络本身具有自主防御和管理的功能，网络可控、可管、可防、可观。

使用了免疫墙技术之后，在免疫墙的监控界面中看到了拦截了很多网络攻击，现在网络很稳定，没有再出现过掉线了。

在遇到网络问题时，我们一定要思路清晰，确定排查方案，在找到故障原因后，确定解决方案。并且要不耻下问，多向他人请教；查阅资料，了解新技术，把握网络技术的发展

接口联调是怎么进行联调的？

1项目处于开发阶段，前后端联调接口是否请求的通？（对应数据库增删改查）--开发自测

2有接口需求文档，开发已完成联调（可以转测），功能测试展开之前

3专项测试：如测流量大小，查看压缩大小，测试接口请求响应时间

4版本上线前，进行整体回归测试，查看接口是否有异常（如404等）。对准备上线的版本进行抓包，查看服务器地址都是正确的

5版本功能稳定后，接口自动化

大家好啊，我是大田

20220330，日更第 53 / 365 天。

在测试工作中，需要抓包工具帮助定位前后端问题，当看到前端页面出现bug后，需要进一步判断是前端问题还是后端问题。同时可以利用抓包工具进行小规模的安全测试，或者使用抓包工具构造一些难以测试的测试场景，例如：弱网测试等。

本篇说下抓包工具作用以及常用抓包工具有哪些。

一、抓包工具作用

在客户端与服务器进行通信时，主要采取报文形式传输。客户端和服务器分别产生各自的报文，对于功能测试人员来说，需要验证客户端请求报文和服务器响应报文是否正确，那如何获取二者的报文呢？这里就引入了抓包工具，也只能使用抓包工具来获取。

这里来了解下抓包工具的原理：（工具先以Fiddler为例）

原本浏览器和服务器互相传输信息，现在Fiddler拦截二者的请求，让浏览器所有的请求都发送给Fiddler，由Fiddler转发给服务器，服务器所有返回的数据也都返给Fiddler，由Fiddler返回给浏览器。这样客户端的浏览器和服务器的请求都被Fiddler所拦截下来了，从而Fiddler也知道他们二者各自做了什么内容。

其实这种方式也是早期黑客攻击的手段之一，通过拦截请求，篡改数据，让服务器和客户端认为请求是真实的。

二、常用抓包工具有哪些？

1、浏览器自带开发者工具，例如，谷歌浏览器的开发者工具。

2、Fiddler：Windows系统中非常流行的抓包工具。

3、Charles：也是流行的抓包工具，尤其是在Mac电脑上用的是最多的。

end ~~