WiresharkforMac版抓包的基本用法

Wireshark我使用了一段时间，才知道这是抓包神器，最全最牛逼的抓包软件。当时我之所以要学习Wireshark，是因为要抓取手机端今日头条的请求，看今日头条的懒加载是如何做的，从而无耻学习。我就这么直白，不服来打我呀，打我呀打我呀。

o(￣ヘ￣o#) 哼，言归正传。
今日头条的手机端的URL为：http://m.toutiao.com

早期的时候，我使用Charles（大花瓶）抓取的时候，今日头条的请求方式还是普通的GET请求。但是不知道从何时开始，大花瓶已经抓不住他了，已经和那些普通妖艳贱货不一样了。
已经变得这么的高冷，让别人无法接近。

从Charles（具体使用方法在本文的最下面）口中得知。

Charles抓包

我们已经不能从GET和POST中获取到任何的新闻信息，排除了某宝，二手东，和广告的连接，发现了4个Method为Connect有嫌疑的连接。

犯罪嫌疑人有4人，如下：

https://e.crashlytics.com

https://a3.bytecdn.cn

https://i.snssdk.com

https://is.snssdk.com

首先排除第一个Crashlytics，他是统计Crash的工具。
然后排除第二个bytecdn。CDN服务商，网络服务商。
好的接下来两个就是重头戏了。

Charles能抓到的信息
CONNECT抓到的乱码

得到的数据辣眼睛

看来Charles已经只能帮我到这了，Charles虽然很方便，GET和POST请求是他的强项，能直接显示URL、请求头、参数名、参数格式，如果返回的是图片，还能直接在Charles中看到图片。但是Charles处理不了TCP、ICMP、UDP、DNS。看到的数据也有限，基本就是应用层的信息，如果想看到物理层的数据帧情况，链路层的帧头部信息，IP的包头部信息，那Charles已然GG了，而且通过大神指点，知道这明摆的就是TCP传输，用Wireshark解析，这好使。

我们先熟悉一下 Wireshark for Mac 的界面。

Wireshark的页面

点击接口名称之后，就可以看到实时接收的报文。Wireshark会捕捉系统发送和接收的每一个报文。如果抓取的接口是无线并且选项选取的是混合模式，那么也会看到网络上其他报文。

使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，而且这些信息包括Mac的还有iPhone的，数据量比Charles大的多，以至于很难找到自己需要的部分，所以一定得学会用过滤器。
这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。

捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。
显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

比较常用的过滤器：1.输入Method 2.还有就是IP的搜索。
例如，输入“TCP”就会只看到TCP报文。输入的时候，Wireshark会帮助自动完成过滤条件。

输入“TCP”就会只看到TCP报文

最经常用的：
ip.src == 10.2.189.0 or ip.dst == 10.2.189.0

通过IP查找

其他常用的：
tcp dst port 3128 显示目的TCP端口为3128的封包。

ip src host 10.1.1.1 显示来源IP地址为10.1.1.1的封包。

host 10.1.2.3 显示目的或来源IP地址为10.1.2.3的封包。

src portrange 2000-2500 显示来源为UDP或TCP，并且端口号在2000至2500范围内的封包。

not imcp 显示除了icmp以外的所有封包。（icmp通常被ping工具使用）

src host 10.7.2.12 and not dst net 10.200.0.0/16 显示来源IP地址为10.7.2.12，但目的地不是10.200.0.0/16的封包。

数据处理：

数据处理

如图上，可以发现。
Frame: 物理层的数据帧概况
Ethernet II: 数据链路层以太网帧头部信息
Internet Protocol Version 4: 互联网层IP包头部信息
Transmission Control Protocol: 传输层T的数据段头部信息，此处是TCP
Hypertext Transfer Protocol: 应用层的信息，此处是HTTP协议（但是这里没显示出来）

物理层和链路层还有头部的信息，如果只是普通抓包的话，我们完全用不上。
传输层协议和HTTP协议是大头。其中有一些明显的数据。（比如URL，请求头啊）

万事俱备只抓包

此时找到今日头条的TCP消息，右键，追踪流，TCP流。

追踪TCP

今日头条！Gotta catch！！

Gotta catch

终于抓到TCP的内容了，建立了长连接以后，
蓝色的是我对今日头条发送的信息，红色是对方返回的信息。数据还在破解中，抓包过程到此结束。

TCP的流

总结

今日头条把原先的GET和POST方法，经过了TCP的一轮封装，两个IP地址通过端口长连接以后，这是第一层保护；接着我会给服务器发送我请求的信息，请求的信息通过封装后（估计是又回到了Get请求）给服务器发送，服务器再给我返回信息，这是第二层保护；最后服务器发送的信息，是乱码！！！我的天，居然还是乱码。
嗨！真的好气啊。
这是第三层保护，通过某种加密方式，把返回的json数据加密了，返回的内容完全看不懂，只有通过App的解密，才能知道今日头条的信息。
真有你的。

大体介绍下Charles的流程：

1.配置iPhone或Android 的wifi配置。首先保证Mac电脑和手机是在同一个局域网内。
2.设置手机wifi配置，在HTTP代理中选择手选代理，服务器填写Mac的IP地址。端口使用8888。
（查看Mac的IP地址：系统偏好设置&＃8211;>网络&＃8211;>状态&＃8211;>其IP地址为：xx.xx.xx.xx ）
3.此时再打开Charles，接着Charles会问你，是否允许该设备代理上网，选择Allow。
4.此时手机的所有GET和POST请求，都逃不过Charles的追踪。