1. 从海量数据包中揪出HTTP流量:你的第一步
大家好,我是老张,在网络安全和协议分析这行摸爬滚打了十几年,用Wireshark排查过的问题数都数不过来。今天咱们不聊那些高深的理论,就手把手地带你走一遍,怎么用Wireshark这个“网络显微镜”,在看似平常的HTTP流量里,把那些不该明文“裸奔”的敏感信息给揪出来。这活儿听起来挺专业,但只要你跟着我的步骤来,小白也能快速上手。
想象一下,你家里的Wi-Fi就像一个公共广场,所有连接这个Wi-Fi的设备(你的手机、电脑、智能音箱)都在这个广场上互相喊话。Wireshark就是你派到这个广场上的一个超级耳朵,它能听到所有的对话。我们的目标,就是从这些嘈杂的对话里,专门挑出那些用“HTTP语言”进行的聊天,并且看看有没有人傻乎乎地在聊天里直接报出了自己的银行卡密码。
首先,你得打开Wireshark。启动后,你会看到一个列表,里面是你电脑上所有的网络接口,比如“Wi-Fi”、“以太网”。这就好比你要选择在哪个广场上安装耳朵。如果你用的是笔记本电脑,正在通过Wi-Fi上网,那就双击“Wi-Fi”这个接口。一瞬间,你会看到屏幕上开始疯狂滚动一行行的数据,这就是Wireshark开始“听”了。别被这阵势吓到,我们马上就来过滤掉噪音。
现在,打开你的浏览器,随便访问一个使用HTTP协议的网站(注意,是http://开头的,不是https://)。我建议你可以在本地搭建一个简单的测试页面,或者访问一些明确提供HTTP服务的测试站点。当你访问这个页面时,Wireshark的捕获窗口里就会混入我们想要的HTTP数据包。怎么把它们找出来呢?太简单了。看到软件顶部那个长长的、像搜索框一样的栏了吗?那就是显示过滤器输入框。你直接在里边输入小写的 http ,然后按回车。神奇的事情发生了——屏幕上瞬间清净了,只剩下那些标识为HTTP协议的数据包。这就是我们的主战场。
2. 解剖一个HTTP数据包:看清数据的“五脏六腑”
过滤出HTTP流量只是第一步,就像从一堆信件里找到了所有用英文写的信。接下来,我们得拆开信封,读懂里面的内容。在Wireshark里,点击任意一个HTTP数据包,界面中间的面板就会展示出这个包的详细分层信息,这是Wireshark最核心的功能之一。
这个详情面板通常分为几个折叠起来的区块。最上面一般是“Frame”(物理帧信息),我们暂时不用管。往下找,你会看到“Ethernet II”(以太网信息)和“Internet Protocol Version 4”(IP信息)。再往下,重点来了——“Transmission Control Protocol”(TCP信息)。因为HTTP协议通常是跑在TCP连接之上的,所以你会在这里看到源端口、目标端口(通常是80)、以及这次TCP会话的序列号等信息。
继续展开,你就能看到“Hypertext Transfer Protocol”这一行。点开它,HTTP协议的庐山真面目就全部呈现了。这里边包含的信息至关重要:
- Request Method(请求方法):最常见的就是
GET和POST。简单理解,GET像是你向服务器“要”东西(比如请求一个网页),参数通常直接挂在网址后面;而POST则是你向服务器“提交”东西(比如登录时的用户名密码),内容藏在请求的“身体”里。追踪敏感数据,POST请求是我们的重点盯防对象。 - Request URI(请求资源标识符):就是你要访问的具体地址,比如
/login.php或/api/submit。看到login、submit这
扫一扫
914
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
