如何使用抓包工具，学会操作

这本书可以。能分析 *** 数据包，对于数据传输安全有很大意义。

为什么我wireshark抓到的arp包，arp响应是显示broadcast广播

【前言】某天在家里访问某电商网站首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到电商网站，心里之一个反应就是中木马了。竟然有这样的事，一定要把木马大卸八块。【原因排查】首先在重现的情况下抓包，电商网站确实返回了一段JavaScript让浏览器跳转到了yiqifa;第二个HTTP响应由于晚到，被系统忽略(Wireshark识别为out-of-order)。这两个HTTP响应包，必然一真一假。快揭示真相了。再来看看两个HTTP响应的IP头。之一个包TTL值是252，第二个包TTL值是56，而之前TCP三次握手时该电商服务器的TTL值是56，故可以判断先到的包是伪造的，真的包晚到而被系统忽略。至此，确认是链路上的劫持。更多链路劫持攻击的信息可以先看看笔者之前写的文章《链路劫持攻击一二三》。【攻击方式】继续分析伪造的数据包。伪造包的TTL值是252，也就是说它的原始TTL值应该是255(大于252的系统默认TTL值只能是255了，一般不会修改)，也就表明攻击者的设备离我隔了3个路由;而正常的该电商网站的HTTP响应TTL值是56，隔了8个路由。物理上假的设备离我近，所以伪造的HTTP响应会先到——比较有意思的是，笔者实际监测时候发现也有伪造包晚到导致劫持失败的情况。推测是一个旁路设备侦听所有的数据包，发现请电商网站首页的HTTP请求就立即返回一个定制好的HTTP响应。大致的攻击示意图如下。当时笔者推测攻击者在链路上大动干戈应该不会只针对一个网站，于是就访问了下易迅、 *** 、天猫这些电商网站，结果发现易迅也受到同样的攻击。看起来这次流量劫持的目的是将电商网站流量导给返利联盟，通过返利联盟获得当前用户成交金额的返利。基本确认运营商有问题，但是无法确认是运营商官方故意的还是遭到黑客攻击或者是内部人士偷偷搞的。【攻击源定位】来看看当时的路由结果：如果按初始TTL值为255来算，HTTP包到达本机后为252，推算出经过了3(255-252)个路由，出问题的地方就在第4个路由附近，也就是这里的119的关键字重新访问主页的情况;再比如某些设备的HTTP阻断会向服务器发特定的RST包(我见过发IP Id为8888的案例)。防护方面，这个案例只是伪造数据包，并没有实施阻断，所以只要客户端的安全软件把疑似出问题的包(一次TCP会话中TTL值相差很大或者IPId突然跳变)拦截就可以防御。为了避免误杀，可以拦截并休眠1秒，如果没有同样的数据包过来再放行。有自己客户端的可以走自己的私有协议，网站类就困难一些，部署HTTPS吧。百度主页近期就使用了HTTPS，不过大部分用户还是不习惯在浏览器里输“https://”，所以还是存在被劫持的风险(类似的工具有SSLStrip)。当然了，对抗也会随之升级的，比如这次发现的GMail证书伪造事件。在HTTPS尚不能大规模普及的情况下，是否可以给用户或者终端软件提供一个规避链路劫持的安全服务呢?似乎是可以的。下图是笔者构想的一个简单的通过本地 *** 软件加云服务的方式规避不安全ADSL链路的解决方案。一些浏览器的云加速也客观上实现了这个功能。对于安全性不确定的公共WiFi，也可以用类似的 *** 来规避风险。【后记】希望本文对你有帮助。在链路劫持防护这件事上，腾讯欢迎与业界讨论甚至合作。

有哪些抓包工具？

抓包工具的对比

一、httpwatch：

1.   httpwatch与IE和firefox浏览器集成，但不支持chrome；httpwatch界面清晰直观，发送请求后可以快速简单的查看Cookies, Headers, Query Strings and POST data，能够通过页面分组处理多页面场景。

2.   实时分级时间展示图能够展示一个http/https请求的处理过程；通过不同的颜色展示 *** 请求计时，如DNS查询，tcp连接；以瀑布形式展示浏览器事件，例如从浏览器渲染和页面加载计时就开始了，可以自动检查性能问题。

3.   安装简单，不需要设置 *** 和证书；提供接口API可以被大部分编程语言自动化调用、录制、保存结果。

4.   但只能看不能修改

二、Fiddler：

1.Fiddler是一个独立的应用，可以调试PC、Mac或Linux系统和移动设备的之间的通信，支持大部分框架如java、.net、java、Ruby，需要设置 *** 。

2.能够暂停Http通讯，并且允许修改请求和响应方便进行安全测试，也可以设置检查点做功能测试。

3.通过暴露HTTP头，用户可以看见哪些页面被允许在客户端或者是 *** 端进行缓存。如果要是一个响应没有包含Cache-Control头，那么他就不会被缓存在客户端。

4.可以通过Composer进行接口测试。

      三、科来 *** 分析系统

1.科来 *** 分析系统是一款专业的通过抓取 *** 数据包进行 *** 检测， *** 协议分析工具，可实时监测 *** 传输数据，全面透视整个 *** 的动态信息。除了能实时检测每台电脑的上网情况，邮件收 *** 况， *** 登录情况， *** 流量外，还具有强大的数据包解码分析功能，可诊断 *** 故障，定位 *** 瓶颈，检测 *** 安全隐患，支持多种协议。

2.一般用于抓取其他协议包

      四、firebug

1、Firebug是firefox下的一个扩展，它除了能进行 *** 分析还能够调试所有网站语言，如js、Html、Css等，支持各种浏览器如IE、Firefox、Opera,、Safari。

2. Firebug是开源工具，能够将页面中的CSS、javascript以及网页中引用的图片载入所消耗的时间以矩状图呈现出来，方便我们对网页进行调优。

3.Firebug编辑、删改任何网站的CSS、HTML、DOM 以及JavaScrip

如何用wires hark黑客

wireshark只是一个抓包软件 来抓取你和服务器之间的请求啥的 有的是明文 有的是密文 密文的话 你还需要会解密 一点基础都没有 这样肯定是学不会的

Cisco Packet Tracer中用wireshark抓包

Cisco Packet Tracerf里的数据包是无法被抓出来的，因为只是cisco出的一个仿真软件，模拟cisco的命令字符没有真实的数据走。要抓包只能用GNS3、Dynagen或都基于Dynamips的模拟器才行！只有这类模拟器才能跑真正cisco的IOS（cisco 的操作系统）。希望能帮到你

黑客是怎么截取数据包的?

首先，黑客要知道你电脑的IP地址，知道你在哪里。当然，你的电脑要上网

找到你的IP之后就确定了你的电脑 *** 位置，之后寻找你可以侵入的端口。

我们电脑连接 *** 的时候很多端口是没用的，如打印机端口什么的，有些端口很容易被入侵占用

选择可以入侵的端口之后就开始入侵，这个时候你电脑的进程里面就有个不正常的进程，不过你很难发现。

之后就可以监听你的电脑，就是你每一个动作都可以显示，之后用专门的抓包软件进行抓包。