百度搜索广泛使用了HTTPS协议,网页内容都被加密了。但搜索的关键字信息却使用get方式进行传递,没有被加密。所以,根据请求的网址信息,可以轻松获取最重要的信息,用户搜索的关键字。电脑请求时,关键字以参数wd表示。手机端则以参数w表示。如果搜索内容为中文,还需要decode解码,才能获取。
Wireshark抓取百度搜索包分析
发表回复
分类目录归档:Wireshark
Wireshark能做什么,不能做什么
Wireshark是知名的网络分析工具。他可以抓包,然后把包按照协议展现出来。他的最大优势就在于支持几百种协议的解析。只要抓到包,就可以按照协议格式把包的数据展现出来。当然,他也有劣势。他只支持抓包和包的分析,至于修改和发包,就不是他来完成的。这方面,大家应该考虑Scapy之类构造包的专用工具了。[……]
从HTTP数据抓包看用户行为
数据抓包不仅可以获取用户的访问数据,通过一些细节还可以还原用户的操作,发现用户的行为习惯。例如,在分析HTTP数据包的时候,我们可以根据HTTP请求先后顺序找到用户访问网站的顺序。如果结合HTTP中的Referer属性,还可以判断用户请求网站的方式。当HTTP包中包含该属性时候,该属性表明用户是从某[……]
HTTP包中的location含义
在Wireshark抓取的HTTP包中,有时会看到location属性。该属性表示该网页的跳转网址,也被称为重定向网址。当网页中包含该属性后,浏览器会自动从当前网页跳转到location中指定的网址。对应的显示过滤器为http.location。
如何在Wireshark中查看包之间的时间间隔
分析网络数据包时,经常查看数据包之间的时间间隔。用户可以通过手动计算Time列的差值。实际,用户可以指定Time列的显示方式,从而快速获取时间差值。右击Time列,选择编辑该列,将类型设置为Delta time项,然后单击OK按钮即可。
Wireshark的TCP Out-Of-Order含义
使用TCP传输较大数据时,都会将数据分片,然后按照顺序依次传输。当Wireshark抓包时候,数据包标记为TCP Out-Of-Order,意思是该数据包的发送顺序不对。这意味着网络状况不好。当然,Wireshark有时会重传的包识别为乱序包。
Wireshark过滤指定域名的DNS包
为了快速查找指定域名的DSN包,可以借助DNS协议的显示过滤器dns.qry.name。例如,要查询百度的DNS包,显示过滤器形式为dns.qry.name=www.baidu.com。
PS:记忆方式,dns当然不用说了;qry是查询query的简写;name是名称的意思。
[……]
Wireshark对SSL数据解密
SSL加密广泛应用于数据传输中,如典型的HTTPS。其加密关键是密钥证书。只要拿到客户端的私钥证书,就可以解密该客户端和服务器的加密数据。如果拿到的是服务器的私钥证书,就可以解密该服务器的所有SSL加密数据。所以服务器的私钥非常重要。一旦被别人获取,结果可想而知。拿到私钥证书后,在Wireshark[……]
Wireshark找不到网络接口问题
在运行Wireshark工具抓包时,需要有root用户权限。如果是普通用户启动的话,将会提示找不到网络接口。如图所示:
找不到网络接口