手机端抓包分析
1前提:
wireshark是針對網(wǎng)絡(luò)端口進行抓包的一款工具,由于環(huán)境限制,一些通過wifi熱點進行抓包的方式并不適用,所以涉及到對手機流量進行分析的時候,可以通過在手機上進行tcpdump,將抓取的pcap包通過wireshark進行分析。
針對android手機抓包操作:
1.首先將手機進行root,啟動調(diào)試模式
2.安裝adb調(diào)試工具
3.查看adb是否能連上設(shè)備 adb devices
4.su切換到root權(quán)限, 進入某個文件夾,或者新建文件夾,存放文件
5.上傳tcpdump文件
6.再次進入adb shell,查看tcpdump是否存在,
7.設(shè)置tcpdump的權(quán)限, 此時,就可以通過tcpdump抓取經(jīng)過手機網(wǎng)卡的數(shù)據(jù)包
8.通過命令可以查看經(jīng)過手機的網(wǎng)卡。(netcfg或者ifconfig【虛擬機模擬器】)
9../tcpdump -i wlan0 –s 0 -w all.pcap(將抓取到的數(shù)據(jù)包寫入到all.pcap)
10.再將all.pcap文件pull到本機,adb pull /dev/yxy/all.pcap d:\all.pcap
手機抓包結(jié)束,接下去就是數(shù)據(jù)包分析的過程。
數(shù)據(jù)包分析:
將獲取的數(shù)據(jù)包通過wireshark打開進行分析:
1.網(wǎng)絡(luò)封包介紹
Frame: 物理層
Ethernet II: 數(shù)據(jù)鏈路層
Internet Protocol Version 4: 互聯(lián)網(wǎng)層IP包頭部信息
Transmission Control Protocol: 傳輸層T的數(shù)據(jù)段頭部信息,此處是TCP
Hypertext Transfer Protocol: 應(yīng)用層的信息,此處是HTTP協(xié)議
2.Wireshark數(shù)據(jù)包類型:
SYN表示建立連接,
FIN表示關(guān)閉連接,
ACK表示確認碼,
PSH表示有 DATA數(shù)據(jù)傳輸,表示數(shù)據(jù)的推送
RST表示連接重置
防火墻發(fā)送的reset:當遠端服務(wù)器嘗試打開連接但沒有結(jié)果時,也許會看到返回RST信號。這是防火墻阻隔連接的情況。可看到發(fā)送的每一個SYN都返回RST。
4.http數(shù)據(jù)分析:
找到request請求,查看該請求的response所在位置
例如response返回的是json數(shù)據(jù)格式,可以查看詳細的json內(nèi)容。
5.tcp數(shù)據(jù)包分析
再通過16進制轉(zhuǎn)化成字符串進行解析
總結(jié)
- 上一篇: sqlserver备份还原后数据库关系图
- 下一篇: 施乐700彩机服务器显示c4,施乐彩色数