Wireshark网络抓包工具使用简析（附加网易云音乐抓包分析）

1，wireshark介绍

2，基础使用总结

3，抓一个ping的icmp包

4，综合抓取pc端应用程序包

壹   什么是wireshark？

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。    ——百度百科

简单地说就是一款强大的抓包软件，功能十分多；行业应用广泛；且开源，免费

   wireshark网站官网

贰   基础使用总结

首先进入到第一个界面，因为Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换，所以需要选择我们要抓取的接口网卡，我这里笔记本连的是WiFi，所以就选WLAN网卡

 进入之后便会直接开始捕获数据包

 

界面功能分析

这个是开始，暂停和重新抓取，设置捕获网卡的选项，从这个可以进行开始和暂停等操作

通过另存为可以将本次捕获的所有数据包存为一个本地文件： 当然，只能通过wireshark打开

这个是wireshark的过滤框，在框内需要输入正确的过滤语法（类似于SQL语句一样的关联性语句）可以从海量的包中分析出我们所感兴趣的包：

过滤地址
ip.addr==192.168.1.136  或  ip.addr eq 192.168.10.10  #过滤地址
ip.src==192.168.1.136    #过滤源地址
ip.dst==192.168.1.136    #过滤目的地址
 
过滤协议，直接输入协议名
icmp 
http
 
过滤协议和端口
tcp.port==80
tcp.srcport==80
tcp.dstport==80
 
过滤http协议的请求方式
http.request.method=="GET"
http.request.method=="POST"
http.request.uri contains admin   #url中包含admin的
http.request.code==404    #http请求状态码的
 
连接符
&&  
||
and
or
 
通过连接符可以把上面的命令连接在一起，比如：
ip.src==192.168.1.136 and http.request.method=="POST"

这一块就是我们当前捕获的包，右侧有一块类似于sublime的预览条方便查看。捕获的时间和顺序可以随意调整，也可以增加分类类别

     

  

这一栏是当前包（在wireshark里面每一个捕获的包美其名曰：分组，正同学术话语里面分组转发一个道理）的一些属性的匹配值；

这个就是当前包的源hex文件了，需要反编译数据可以从这里截获源数据（正经的）

因为有一些数据较大（每个包最大长度只有65535byte）所以需要多个包才能组成一个数据块，所以当我们想查看全部数据流的时候，在这儿右键：    这边可以选择查看格式（这是一首还没下完的雷子的《南方姑娘》）

从这儿可以看到专家信息，就是那些红红绿绿的包条（黑色代表未成功发送的包）

可以查看解析后的各种地址（大名鼎鼎的思科）

查看抓到所有包的协议分级

叁   抓一个ping的icmp包

先重新登一下wireshark，清空记录；然后打开cmd

先开始抓包，然后开始ping ......

ping完之后暂停抓包，在筛选栏中输入：

ICMP

可以看到，ping了四次，每一次一个请求一个相应，总共八个包；

查看这两个包可以看到众多详细信息；

肆   综合抓取pc端应用程序包

一首本地没有缓存的歌曲，我们在线播放的话肯定是要从服务器端接收数据，然后在本地进行渲染才能播放出来的；

我们需要先知道网易云音乐这个app的进程号；

首先在cmd中查看：

tasklist | findstr net

   

最后试了试cloud才出来，这里是有三个进程，获取了进程号PID后再继续查看：

只有第一个进程号是由对应ip收发数据的；

然后打开捕获开关，然后播放加载一会歌曲：

     噢！痛仰牛逼！

几秒钟就快一万个包了，现在我们开始根据刚才获得的信息筛选：

这是通过刚才获得的端口号筛选出来的：

但是：    我这一首歌加载了这么久少说15MB，你就给我6个包，每个一两百字节？

继续查看所有的包，我发现了在加载歌曲的时间段出现了大量相同协议（443端口）大数据长度的可疑包：

追踪TCP流后发现每一个流的长度相等：1712KB，一个流两个包

我们一首歌15MB当然一个包是不可能一次性传完的，需要多批次大量的包发送与接收才能够接受完成整首歌，所以我就大胆的猜测这个就是痛仰《再见杰克》里面的其中一个数据流，一个确认包一个数据包，组成了一个数据流；

让我们细细的品一下这个包：

我们家宽带是联通的，所以这个包是从上一个联通路由器转发而来的

之前在网上搜索wireshark博客的时候发现早在17年的时候就有小伙伴成功截获了网易云未加密的数据包，并在本地存储后用浏览器打开...很明显的侵权啊，别人那么多独立音li乐zhi人维权那么辛苦你tm抓个包就把别人歌曲下载下来了这让丁磊手下的程序员们很没面子，估计是现在进行了一套加密操作，重新指定数据流传递协议，使其变为不可破解的数据；

也算是用技术为中国的独立音乐向前迈进了一个大台阶吧，知识产权相当重要呢~

丁磊还是有点东西的