摘要：网络抓包技术是网络管理和安全分析中不可或缺的工具。通过捕获和分析网络数据包，可以诊断网络问题、优化性能、检测恶意活动以及进行安全分析。

号主：老杨丨11年资深网络工程师，更多网工提升干货，

下午好，我的网工朋友。

网络抓包技术是网络管理和安全分析中不可或缺的工具。通过捕获和分析网络数据包，可以诊断网络问题、优化性能、检测恶意活动以及进行安全分析。

今天就来重点介绍三款强大的抓包工具：Wireshark、tcpdump 和 Fiddler。

无论你是网工、安全分析师还是开发人员，精通这些工具的功能和应用场景都将大大提升工作效率

今日文章阅读福利：《 Wireshark抓包全集 》

讲到抓包，用的最多的想必还是Wireshark，给你分析一个好东西！Wireshark抓包全集（85种协议、类别的抓包文件），私信我，发送暗号“抓包全集”，即可获得资源。

网络抓包是捕获和分析网络数据包的过程，用于故障排除、性能优化和安全分析。

通过在网络接口上捕获传输的数据包，并使用专门的工具进行解析和展示，可以帮助技术人员深入了解网络流量的细节。

01 用途：

故障排除：诊断网络问题和应用性能问题。例如，当用户报告某个网站加载缓慢时，网络管理员可以通过抓包来查看是否有丢包或延迟过高的情况。

性能优化：分析网络流量，优化网络配置。例如，通过抓包可以发现网络中的瓶颈，从而调整带宽分配或优化服务器配置。

安全分析：检测恶意活动和安全威胁。例如，安全分析师可以通过抓包监控异常的网络流量，检测潜在的攻击行为或数据泄露。

02 工作原理：

网络抓包工具通常通过在网络接口上设置监听模式（如混杂模式）来捕获所有经过该接口的数据包。

这些数据包被保存为文件（通常是PCAP格式），然后可以使用各种工具进行详细分析。抓包工具通常支持多种过滤规则，帮助用户快速定位感兴趣的流量。

Wireshark是一款开源的网络协议分析器，广泛用于网络故障排除和安全分析。

它支持多种操作系统，包括Windows、Linux和macOS，具有强大的功能和直观的用户界面。

01 特点：

支持多种协议：Wireshark支持数百种网络协议，包括TCP/IP、HTTP、HTTPS、DNS、FTP等，能够解析和显示各种协议的数据包。

强大的过滤功能：用户可以使用复杂的过滤规则来筛选数据包，快速定位感兴趣的流量。例如，可以使用tcp.port == 80来过滤出所有HTTP流量。

实时捕获和离线分析：Wireshark既支持实时捕获数据包，也支持加载和分析离线捕获文件（如PCAP文件）。

图形界面友好：提供直观的图形界面，便于用户操作。用户可以通过颜色编码、详细信息面板和统计信息来查看和分析数据包。

02 示例：

故障排除：假设一个企业内部的Web应用响应时间变慢，网络管理员可以使用Wireshark捕获客户端和服务器之间的数据包，发现大量的重传请求，从而定位到网络拥塞的问题。

安全分析：安全分析师怀疑有恶意软件正在尝试访问内部网络资源，使用Wireshark捕获所有进出网络的数据包，发现异常的DNS查询和HTTP请求，进一步调查后确认了恶意行为。

开发调试：开发人员在调试一个新的API时，使用Wireshark捕获客户端发送的请求和服务器返回的响应，发现请求中的某个参数格式不正确，导致服务器返回错误代码400。通过修改请求参数，成功解决了问题。

tcpdump是一款命令行网络抓包工具，适用于Linux和Unix系统。

它轻量级且功能强大，广泛用于网络故障排除、性能分析和安全监控。

01 特点：

轻量级：占用资源少，适合在资源受限的环境中使用。

命令行界面：适合熟悉命令行操作的用户，提供了丰富的命令选项和参数。

强大的过滤功能：支持BPF（Berkeley PACKet Filter）语法，可以进行复杂的过滤。例如，可以使用tcp port 80来捕获所有HTTP流量。

可保存为PCAP文件：捕获的数据包可以保存为PCAP文件，供其他工具（如Wireshark）进一步分析。

实时捕获：支持实时捕获数据包，并可以在终端中直接查看捕获结果。

02 示例：

故障排除：

假设一个Web服务器突然无法响应外部请求，系统管理员可以使用tcpdump命令捕获服务器上的80端口流量，发现有大量的SYN请求但没有对应的ACK响应，从而确定服务器受到了SYN Flood攻击。

sudo tcpdump -i eth0 port 80

安全分析：

安全专家怀疑有恶意IP地址正在尝试扫描网络，使用tcpdump捕获所有进出网络的数据包，发现某个IP地址频繁发送不同的端口扫描请求，进一步封锁该IP地址。

sudo tcpdump -i eth0 src host 192.168.1.100

开发调试：

开发人员在调试一个新的API时，使用tcpdump捕获客户端发送的请求和服务器返回的响应，发现请求中的某个参数格式不正确，导致服务器返回错误代码400。通过修改请求参数，成功解决了问题。

sudo tcpdump -i eth0 -s 0 -w output.pcap

Fiddler是一款专为Web开发人员设计的HTTP/HTTPS调试代理工具。

它提供了丰富的功能和用户友好的界面，适用于Windows系统。Fiddler可以捕获、查看和修改HTTP(S)流量，非常适合Web应用的调试和测试。

01 特点：

HTTP/HTTPS支持：专门针对HTTP/HTTPS协议进行优化，支持SSL解密，可以查看加密的HTTPS流量。

用户界面友好：提供丰富的图形界面，便于查看和修改请求和响应。用户可以通过会话列表查看所有捕获的HTTP(S)请求，并详细查看每个请求和响应的内容。

断点调试：可以在请求和响应过程中设置断点，暂停数据流并进行详细的调试。例如，可以修改请求参数或响应内容，然后继续执行。

自动化脚本：支持编写自动化脚本（使用.NET语言），进行批量处理和测试。通过FiddlerScript，用户可以自定义规则来修改请求和响应。

性能分析：可以显示请求的时间线和性能统计信息，帮助优化Web应用的性能。

02 示例：

调试Web应用：

假设一个Web应用的登录功能出现问题，开发人员可以使用Fiddler捕获登录请求，检查请求参数和响应状态码，发现请求参数中缺少必要的认证信息，从而修复问题。

步骤：

启动Fiddler，确保其配置为系统代理。

打开浏览器，访问有问题的登录页面。

在Fiddler中捕获到登录请求，查看请求头和请求体。

发现请求中缺少某个认证参数，修改请求参数后重新发送请求。

检查服务器响应，确认问题已解决。

测试API：

测试工程师需要验证一个REST API的GET请求是否返回正确的数据，使用Fiddler发送GET请求，查看响应数据，确保API按预期工作。

步骤：

启动Fiddler，打开Composer选项卡。

创建一个新的GET请求，输入API的URL和必要的请求参数。

发送请求，查看响应数据。

检查响应状态码和响应体，确认数据正确。

安全测试：安全研究人员怀疑某个Web应用存在跨站脚本（XSS）漏洞，使用Fiddler捕获和修改HTTP请求，注入恶意脚本，验证应用是否对输入进行了适当的过滤和转义。

步骤：

启动Fiddler，确保其配置为系统代理。

打开浏览器，访问目标Web应用。

在Fiddler中捕获到特定的HTTP请求。

修改请求中的参数，注入恶意脚本。

重新发送请求，查看响应结果，确认是否存在XSS漏洞。

来源：网络工程师俱乐部一点号