wireshark 如何关闭混杂模式 wireshark操作

news2025/3/12 18:28:52

Fiddler和Wireshark都是进行抓包的工具：所谓抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。黑客常常会用抓包软件获取你非加密的上网数据，然后通过分析，结合社会工程学进行攻击。所以，学会抓包，对于学好网络安全技术十分重要。在我们做接口测试的时候，经常需要验证发送的消息是否正确，或者在出现问题的时候，查看手机客户端发送给server端的包内容是否正确，就需要用到抓包工具。而工程师和程序常用的抓包工具有哪些呢？今天我们就来简单聊一聊最常用的2种。

Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容。

总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。

一、Fiddler

当启动fiddler，程序将会把自己作为一个代理，所以的http请求在达到目标服务器之前都会经过fiddler，同样的，所有的http响应都会在返回客户端之前流经fiddler。

Fiddler可以抓取支持http代理的任意程序的数据包，如果要抓取https会话，要先安装证书。

Fiddler的工作原理

Fiddler 是以代理web服务器的形式工作的,它使用代理地址:127.0.0.1, 端口:8888. 当Fiddler会自动设置代理，退出的时候它会自动注销代理，这样就不会影响别的程序。不过如果Fiddler非正常退出，这时候因为Fiddler没有自动注销，会造成网页无法访问。解决的办法是重新启动下Fiddler.

wireshark 如何关闭混杂模式 wireshark操作_wireshark 如何关闭混杂模式

wireshark 如何关闭混杂模式 wireshark操作_抓包_02

Fiddler 如何捕获Firefox的会话

能支持HTTP代理的任意程序的数据包都能被Fiddler嗅探到，Fiddler的运行机制其实就是本机上监听8888端口的HTTP代理。Fiddler2启动的时候默认IE的代理设为了127.0.0.1:8888，而其他浏览器是需要手动设置的，所以将Firefox的代理改为127.0.0.1:8888就可以监听数据了。

Firefox 上通过如下步骤设置代理

点击: Tools -> Options, 在Options 对话框上点击Advanced tab - > network tab -> setting.

Firefox 中安装Fiddler插件

修改Firefox 中的代理比较麻烦，不用fiddler的时候还要去掉代理。推荐你在firefox中使用fiddler hook 插件, 这样你非常方便的使用Fiddler获取firefox中的request 和response，当你安装fiddler后，就已经装好了Fiddler hook插件，你需要到firefox中去启用这个插件打开firefox tools->Add ons -> Extensions 启动 FiddlerHook

wireshark 如何关闭混杂模式 wireshark操作_HTTP_03

wireshark 如何关闭混杂模式 wireshark操作_HTTP_04

Fiddler如何捕获HTTPS会话

默认下，Fiddler不会捕获HTTPS会话，需要你设置下, 打开Fiddler Tool->Fiddler Options->HTTPS tab

wireshark 如何关闭混杂模式 wireshark操作_wireshark 如何关闭混杂模式_05

选中checkbox, 弹出如下的对话框，点击"YES"

wireshark 如何关闭混杂模式 wireshark操作_封包_06

wireshark 如何关闭混杂模式 wireshark操作_HTTP_07

点击"Yes" 后，就设置好了

Fiddler的基本界面

看看Fiddler的基本界面

wireshark 如何关闭混杂模式 wireshark操作_封包_08

Inspectors tab下有很多查看Request或者Response的消息。其中Raw Tab可以查看完整的消息，Headers tab 只查看消息中的header. 如下图

wireshark 如何关闭混杂模式 wireshark操作_封包_09

Fiddler的HTTP统计视图

通过陈列出所有的HTTP通信量，Fiddler可以很容易的向您展示哪些文件生成了您当前请求的页面。使用Statistics页签，用户可以通过选择多个会话来得来这几个会话的总的信息统计，比如多个请求和传输的字节数。

选择第一个请求和最后一个请求，可获得整个页面加载所消耗的总体时间。从条形图表中还可以分别出哪些请求耗时最多，从而对页面的访问进行访问速度优化

wireshark 如何关闭混杂模式 wireshark操作_wireshark 如何关闭混杂模式_10

QuickExec命令行的使用

Fiddler的左下角有一个命令行工具叫做QuickExec,允许你直接输入命令。

常见得命令有：

help 打开官方的使用页面介绍，所有的命令都会列出来

cls 清屏 (Ctrl+x 也可以清屏)

select 选择会话的命令

.png 用来选择png后缀的图片

bpu 截获request

wireshark 如何关闭混杂模式 wireshark操作_封包_11

Fiddler中设置断点修改Request

Fiddler最强大的功能莫过于设置断点了，设置好断点后，你可以修改httpRequest 的任何信息包括host, cookie或者表单中的数据。设置断点有两种方法

第一种：打开Fiddler 点击Rules-> Automatic Breakpoint ->Before Requests(这种方法会中断所有的会话)

如何消除命令呢？点击Rules-> Automatic Breakpoint ->Disabled

第二种: 在命令行中输入命令: bpu http://www.baidu.com (这种方法只会中断 http://www.baidu.com)

如何消除命令呢？在命令行中输入命令 bpu

wireshark 如何关闭混杂模式 wireshark操作_封包_12

二、Wireshark

Wireshark是另外一种抓包工具，这种工具比fiddler更强大，消息量更多。大家可能会问：有了fiddler，为什么还要用wireshark呢？这里说下，在测试中，发现用fiddler抓包，有些包是没有抓到的，比如在验证反作弊信息的时候，反作弊pingback信息的消息用fiddler就没抓到，用wireshark就抓到了。还有另外一种情况，就是在验证cna的时候，如果先用fiddler抓包，如果没有种下cna的时候，以后就永远没有cna了，情况很诡异。解决办法就是把包卸载了重新安装，第一次用wireshark抓包。

Wireshark优势：

1、强大的协议解析能力，一到七层全解码，一览无遗，对于协议细节的研究特别有帮助。

2、对于https加密流量，只要将浏览器的session key 自动导入wireshark，Wireshark可以自动解密https流量。

Wireshark不足之处：

尽管可以自定义过滤列表，但为了抓取一个特定TCP Flow /Session 流量需要写一个长长的过滤列表，这对于初学者很不友好。

操作实例：

wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。

wireshark 如何关闭混杂模式 wireshark操作_wireshark 如何关闭混杂模式_13