无用挂件の日记

论如何愉快地抓包

  新笔记本(ThinkPad S3)到手后直接格盘上manjaro,然后发现指纹没法驱动(不兼容fprint);又鉴于wsl(Windows Subsystem for Linux)这块现在似乎做得还可以,决定先Win10单系统敷衍两天再说。
  真香!
  然后因为一点切实的需求(手动滑稽)决定抓个包玩玩。顺手的有Fiddler跟Wireshark.
  Fiddler对HTTP(S)通信的处理很硬核,尤其是如设置断点处理Request&Response之类,真心强悍。(P.s.我才知道Fiddler可以把根证书通过描述文件的方式装上iOS Device…)
  其它协议(TCP、UDP、DNS、ARP、ICMP之流)用Wireshark就好。
  顺手整理一下WIreshark过滤语法:


  • ip.src eq 192.168.1.66
  • ip.dst eq 192.168.1.66
  • ip.addr eq 192.168.1.66 //IP过滤

  • tcp.port eq 80
  • tcp.port == 80
  • tcp.dstport == 80 // 只显tcp协议的目标端口80
  • tcp.srcport == 80 // 只显tcp协议的来源端口80
  • tcp.port >= 80 and tcp.port <= 1080 // 过滤端口范围

  • !arp
  • not arp // 过滤指定协议

  • eth.dst == A0:00:00:04:C5:84 // 过滤目标mac
  • eth.src eq A0:00:00:04:C5:84 // 过滤来源mac
  • eth.addr eq A0:00:00:04:C5:84 // 过滤来源MAC和目标MAC都等于A0:00:00:04:C5:84的

  • udp.length == 26 // 指udp本身固定长度8加上udp下面那块数据包之和
  • tcp.len >= 7 // 指的是ip数据包(tcp下面那块数据),不包括tcp本身
  • ip.len == 94 // 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
  • frame.len == 119 // 整个数据包长度,从eth开始到最后