这玩意儿,说白了就是让你能偷瞄网上传输的数据包,看看底裤都露给了谁看。我最早接触这东西,纯粹是想搞清楚我电脑上某些软件到底在跟啥服务器偷偷摸摸联系。刚开始学的时候,简直是一头雾水,一堆十六进制和奇怪的协议字段,看着就头疼。
我记得那时候,我用的是Wireshark,这玩意儿功能强大,但上手门槛有点高。我先是把软件装然后找到网卡,对,就是你平时上网用的那个接口,开始监听。点击“Start”那个按钮,瞬间,屏幕上就开始刷刷地滚数据,密密麻麻,跟瀑布流似的。
第一次抓包的体验
我先试着打开一个网页,随便点点。然后回去看抓包记录。当时我发现,光是那个网页打开过程,就生成了上百个包。我得学会过滤,不然根本没法看。我记得我当时赶紧学了怎么用BPF(Berkeley Packet Filter)语法,先过滤掉那些乱七八糟的ARP广播包,只看我电脑的IP地址。
然后我发现,那些HTTP请求,数据内容基本都明文的。我点开一个GET请求,赫然能看到我访问的网址,甚至一些参数都能扒拉出来。那感觉,就像是拿着放大镜在看别人写信,挺刺激的,也挺吓人的。
进阶到加密数据分析
光看HTTP没意思,现在大部分网站都用HTTPS加密了。这才是真正考验技术的时候。我一开始琢磨着怎么解密,发现光靠抓包是没戏的,得想办法拿到那个密钥或者证书。
后来我琢磨明白了,对于分析自己的电脑,最直接的方法就是把SSL/TLS握手过程的数据包都抓下来,然后尝试用代理工具把中间人攻击给做了。我弄了个Fiddler(或者换成Charles,看哪个顺手),设置好代理,让所有流量都走我的工具。
我把那个代理的证书装到电脑的信任区域里。这个过程也挺麻烦的,光是证书安装路径就找了好久。装完之后,我再打开浏览器,访问那个HTTPS网站。这回再回到抓包工具一看,哇塞,那些原本乱码的数据包,现在清晰可见,各种JSON数据、Cookie信息都暴露了。
实际应用和收获
我主要是用这个方法来排查一些软件的兼容性问题,看看它跟后台服务器的接口调用是不是出了岔子。比如某个App更新后老是闪退,我抓包一看,发现它请求的API地址变了,或者参数格式不对,后台返回了个400错误,一下子就定位到问题出在哪了。
抓包这个技能,说白了就是理解网络通信的底层逻辑。你得知道TCP三次握手是啥玩意,UDP为啥不用管握手,HTTP请求头里那些参数的含义。只有把这些基础弄明白了,你才能在海量的包里,快速地拎出你想要的那个“证据”。到我电脑上那个sniffer工具一直开着一个最小化窗口,虽然不常用,但心里踏实,知道自己网上的动静自己心里有数。
