Wireshark抓PC端应用包

背景:PC端应用遇到一个问题,用fiddler无法抓包看请求,所以学习了Wireshark抓包。
一、下载Wireshark
直接在百度输入“wireshark”检索,然后默认安装(安装路径可以指定到自定义位置)即可。

wireshark下载.png
二、抓PC端包
1、默认获取本机所有的网卡信息,这里选择“本地连接”

本地连接.png
2、双击“本地连接”,主要获取的是本地网卡发送和接收的所有信息

本地发送和接收的信息.png
3、协议概念
(1)OSI七层通信模型:应用层、表示层、会话层、传输层、网络层、数据链路层和物理层
(2)TCP/IP的五层通信模型:应用层(应用层、表示层、会话层)、传输层、网络层、数据链路层和物理层
4、具体一条记录里的信息分析
(1)Frame查看概览信息,可以看到发送和接收时间及传输内容大小
(2)Ethernet查看发送和接收方的mac地址
(3)Internet发送和接收方IP地址等信息
(4)Transmission 发送和接收方端口等信息

具体一条请求的内容分析.png
5、通过过滤方法找到我们需要的请求
(1)直接输入“dns”,可以获取所有的DNS的请求

过滤dns.png
(2)直接输入“http”,可以获取所有的HTTP的请求

过滤http.png
6、确认具体PC端应用的请求和发送IP地址
(1)启动任务管理器,找到被测试的PC端应用,右键选择“转到进程(G)”

任务管理器.png
(2)进程->查看->选择列,添加“PID(进程标识符)”,查看PID

查看PID.png
(3)cmd控制台输入netstat -ano| findstr "1084"(mac参考lsof命令),1804就是上个步骤查到的PID值,排除本地地址和常见443及80端口的IP,基本就只剩一条IP+端口可以确认是该PC端应用的接收IP地址

image.png
(4)输入ip.src== 192.xx.xx.100 && ip.dst== 202.xx.xx.6,对发送和接收IP进行过滤,获取到这个PC端应用的请求,如果记录中出现黑色背景的记录,说明这条记录发送失败

根据IP来过滤.png

作者:莫依痕
链接:https://www.jianshu.com/p/b3e629c10fe1
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

发表评论