黑客用哪些抓包工具_提供黑客工具
文字简介:
抓包工具都有什么
着摩托车见着包抓起来就跑
工具:摩托车
棒子
刀
目式眼镜
适合Windows7的 *** 抓包工具有哪些?
1、sniffer
嗅探器是一种监视 *** 数据运行的软件设备,协议分析器既能用于合法 *** 管理也能用于窃取 *** 信息。 *** 运作和维护都可以采用协议分析器:如监视 *** 流量、分析数据包、监视 *** 资源利用、执行 *** 安全操作规则、鉴定分析 *** 数据以及诊断并修复 *** 问题等等。非法嗅探器严重威胁 *** 安全性,这是因为它实质上不能进行探测行为且容易随处插入,所以 *** 黑客常将它作为攻击武器。
2、wireshark
Wireshark(前称Ethereal)是一个 *** 封包分析软件。 *** 封包分析软件的功能是撷取 *** 封包,并尽可能显示出最为详细的 *** 封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
3、WinNetCap
使用WinPcap开发包,嗅探流过网卡的数据并智能分析过滤,快速找到所需要的 *** 信息(音乐、视频、图片等)。
4、WinSock Expert
这是一个用来监视和修改 *** 发送和接收数据的程序,可以用来帮助您调试 *** 应用程序,分析 *** 程序的通信协议(如分析OICQ的发送接收数据),并且在必要的时候能够修改发送的数据。
有哪些抓包工具?
第五名:TCPDump( *** 类)
根据白帽子黑客抓包工具的使用率,将TCPdump排在第五的位置。
TCPdump
TCPdump功能很强大,能够搞到所有层的数据。Linux作为路由器和网关这种 *** 服务器时,就少不了数据的采集、分析工作。而TCPdump恰好是一种功能强大的 *** 数据采集分析工具。
简单来说就是,可以根据用户的定义来截获 *** 上数据包的包分析工具。
TCPdump的功能和截取策略,捕获了高级系统管理员的芳心,成为其分析和排除问题的一种必备工具。
第四名:Wireshark( *** 类)
Wireshark(前称Ethereal)是一个 *** 封包分析软件,是更流行的一种图形化的抓包工具,而且在Windows、Mac、Linux等三种系统中都有合适的版本。
Wireshark
Wireshark可以被用来检测 *** 问题、资讯安全问题、学习 *** 协定相关的知识,或者为新的通讯协定除错。它是白帽子黑客、 *** 管理员、安全工作人员的必备工具之一。
第三名:HttpWatch(Web报文)
HttpWatch在IE浏览器的工具栏中,是功能比较强大的一种网页数据分析工具,而且能够收集显示较为深层的信息。
它不依赖于 *** 服务器、 *** 监控工具,就可以将网页和网页请求信息、日志信息同时显示。另外,它还可以显示一些交换信息。
fiddler
第二名:Fiddler(web报文)
Fiddler是白帽子黑客最经常使用的,是可以进行http协议调试的一种web报文渗透工具。
它可以记录电脑联网的所有通讯,可以查看所有“出入”Fiddler的cookie, html, js, css等数据。并且优点是使用起来非常简单。
之一名:BurpSuite (web 报文)
BurpSuite是现在Web安全渗透的必备工具。
它是一个集成平台,平台中汇集了可以用来攻击web应用的工具,这些工具有很多接口,共享一个扩展性比较强的框架。
抓包详细资料大全
抓包(packet capture)就是将网路传输传送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查网路安全。抓包也经常被用来进行数据截取等。
基本介绍
中文名 :抓包 外文名 :packet capture 分类 :截获、重发、编辑 作用 :检查网路安全 领域 :网游作弊 *** ,安装工具,配置网路路由,开始,找出染毒主机,抓包,原理, *** 安装工具 目的就是用它分析网路数据包的内容。找一个免费的或者试用版的抓包工具并不难。我使用了一种叫做SpyNet3.12 的抓包工具,非常小巧, 运行的速度也很快。安装完毕后我们就有了一台抓包主机。你可以通过SpyNet设定抓包的类型,比如是要捕获IP包还是ARP包,还可以根据目的地址的不同,设定更详细的过滤参数。 配置网路路由 你的路由器有预设网关吗?如果有,指向了哪里?在病毒爆发的时候把预设网关指向另外一台路由器是很危险的(除非你想搞瘫这台路由器)。在一些企业网里往往仅指出网内地址段的路由,而不加预设路由,那么就把预设路由指到抓包主机上吧(它不下地狱谁下地狱?当然这台主机的性能更好是高一点的,否则很容易被病毒冲击而亡)。这样可以让那些病毒主机发出的绝大部分扫描都自动送上门来。或者把网路的出口映像到抓包主机上,所有对外访问的网路包都会被分析到。 开始 抓包主机已经设定好了,网路里的数据包也已经送过来了,那么我们看看网路里传输的到底是些什么。打开SpyNet 点击Capture 你会看到好多的数据显示出来,这些就是被捕获的数据包。 图中的主体视窗里显示了抓包的情况。列出了抓到数据包的序号、时间、源目的MAC地址、源目的IP位址、协定类型、源目的连线埠号等内容。很容易看出IP位址为10.32.20.71的主机在极短的时间内向大量的不同主机发出了访问请求,并且目的连线埠都是445。 找出染毒主机 从抓包的情况看,主机10.32.20.71值得怀疑。首先我们看一下目的IP位址,这些地址我们网路里存在吗?很可能网路里根本就没有这些网段。其次,正常情况下访问主机有可能在这么短的时间里发起这么多的访问请求吗?在毫秒级的时间内发出几十甚至几百个连线请求,正常吗?显然这台10.32.20.71的主机肯定有问题。再了解一下Microsoft-DS协定,该协定存在拒绝服务攻击的漏洞,连线连线埠是445,从而进一步证实了我们的判断。这样我们就很容易地找到了染毒主机的IP位址。剩下的工作就是给该主机作业系统打补丁杀病毒了。 既然抓到了病毒包,我们看一下这个数据包二进制的解码内容: 这些数据包的长度都是62个位元组。数据包前12个位元组包括了目的MAC和源MAC的地址信息,紧跟着的2位元组指出了数据包的类型,0800代表的是IP包格式,0806代表ARP包格式。接着的20个位元组是封装的IP包头,包括了源、目的IP位址、IP版本号等信息。剩下的28个位元组封装的是TCP包头,包括了源、目的连线埠,TCP连结的状态信息等。这就构成了一个62位元组的包。可以看出除了这些包头数据之外,这个包没有携带其他任何的有效数据负荷,所以这是一个TCP要求445连线埠同步的空包,也就是病毒主机在扫描445连线埠。一旦染毒主机同步上没有采取防护措施的主机445连线埠,便会利用系统漏洞传播感染。 抓包 在实际语言套用中 还有露馅 被别人当场抓到的意思 英文名称为Sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具。使用这种工具,可以监视网路的状态、数据流动情况以及网路上传输的信息。当信息以明文的形式在网路上传输时,便可以使用网路监听的方式来进行攻击。将网路接口设定在监听模式,便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。据说某个骨干网路的路由器曾经被黑客攻入,并嗅探到大量的用户口令。本文将详细介绍Sniffer的原理和套用。 原理 Sniffer 原理 1.网路技术与设备简介 在讲述Sniffer的概念之前,首先需要讲述区域网路设备的一些基本概念。 数据在网路上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网路驱动程式的软体进行成型,然后通过网卡传送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的乙太网卡捕获到这些帧,并告诉作业系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。 每一个在区域网路(LAN)上的工作站都有其硬体地址,这些地址惟一地表示了网路上的机器(这一点与Inter地址系统比较相似)。当用户传送一个数据包时,如果为广播包,则可达到区域网路中的所有机器,如果为单播包,则只能到达处于同一碰撞域中的机器。 在一般情况下,网路上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予回响(换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据)。如果某个工作站的网路接口处于混杂模式,那么它就可以捕获网路上所有的数据包和帧。 网路监听原理 Sniffer程式是一种利用乙太网的特性把网路适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设定为这种模式,它就能接收传输在网路上的每一个信息包。 普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF,Linux下需要支持SOCKET一PACKET。但一般情况下,网路硬体和TCP/IP堆叠不支持接收或者传送与本地计算机无关的数据包,所以,为了绕过标准的TCP/IP堆叠,网卡就必须设定为我们刚开始讲的混杂模式。一般情况下,要激活这种方式,核心必须支持这种伪设备Bpfilter,而且需要root许可权来运行这种程式,所以sniffer需要root身份安装,如果只是以本地用户的身份进入了系统,那么不可能唤探到root的密码,因为不能运行Sniffer。 基于Sniffer这样的模式,可以分析各种信息包并描述出网路的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的 *** ,用来夺取其他主机的控制权 Sniffer的分类 Sniffer分为软体和硬体两种,软体的Sniffer有 NetXray、Packetboy、Net monitor等,其优点是物美价廉,易于学习使用,同时也易于交流;缺点是无法抓取网路上所有的传输,某些情况下也就无法真正了解网路的故障和运行情况。硬体的Sniffer通常称为协定分析仪,一般都是商业性的,价格也比较贵。 实际上本文中所讲的Sniffer指的是软体。它把包抓取下来,然后打开并查看其中的内容,可以得到密码等。Sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他禁止广播包的设备,这一点很重要。所以,对一般拨接的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的。 网路监听的目的 当一个黑客成功地攻陷了一台主机,并拿到了root许可权,而且还想利用这台主机去攻击同一网段上的其他主机时,他就会在这台主机上安装Sniffer软体,对乙太网设备上传送的数据包进行侦听,从而发现感兴趣的包。如果发现符合条件的包,就把它存到一个LOg档案中去。通常设定的这些条件是包含字“username”或“password”的包,这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码,他就会立刻进入这台主机。 如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网路的数据包都要经过路由器。 Sniffer属于第M层次的攻击。就是说,只有在攻击者已经进入了目标系统的情况下,才能使用Sniffer这种攻击手段,以便得到更多的信息。 Sniffer除了能得到口令或用户名外,还能得到更多的其他信息,比如一个重要的信息、在网上传送的金融信息等等。Sniffer几乎能得到任何在乙太网上传送的数据包。 Sniffer是一种比较复杂的攻击手段,一般只有黑客老手才有能力使用它,而对于一个网路新手来说,即使在一台主机上成功地编译并运行了Sniffer,一般也不会得到什么有用的信息,因为通常网路上的信息流量是相当大的,如果不加选择地接收所有的包,然后从中找到所需要的信息非常困难;而且,如果长时间进行监听,还有可能把放置Sniffer的机器的硬碟撑爆。
抓包工具有哪些
抓包工具有哪些?
1.
Wireshark抓包工具 Wireshark(前称Ethereal)是一个 *** 封包分析软件...
2.
MiniSinffer MiniSniffer( *** 嗅探器)一个小巧的 *** 抓包工具(嗅探器)...
3.
WSExplorer WSExplorer 是个简单实用的 *** 抓包工具,相比上个版本更人性化了,新版上在界面上进行了优化和添加了过滤功能。
4.
iptool iptool网路抓包工具是一款好用的 *** 抓包工具,使用 *** 很简单,...
了解过 *** 安全技术的人都知道一个名词“抓包”。那对于局外人,一定会问什么是抓包?考虑到,大家的技术水平不一,我尽可能用非专业的口吻简单的说一下。
抓包就是将 *** 传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也用来检查 *** 安全。抓包也经常被用来进行数据截取等。黑客常常会用抓包软件获取你非加密的上网数据,然后通过分析,结合社会工程学进行攻击。所以,学会抓包,对于学好 *** 安全技术十分重要。
在我们做接口测试的时候,经常需要验证发送的消息是否正确,或者在出现问题的时候,查看手机客户端发送给server端的包内容是否正确,就需要用到抓包工具。而工程师和程序常用的抓包工具有哪些呢?今天我们就来简单聊一聊最常用的2种。
Fiddler是在windows上运行的程序,专门用来捕获HTTP,HTTPS的。
wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容。
总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。
一、Fiddler
当启动fiddler,程序将会把自己作为一个 *** ,所以的http请求在达到目标服务器之前都会经过fiddler,同样的,所有的http响应都会在返回客户端之前流经fiddler。
Fiddler可以抓取支持http *** 的任意程序的数据包,如果要抓取https会话,要先安装证书。
Fiddler的工作原理
Fiddler 是以 *** web服务器的形式工作的,它使用 *** 地址:127.0.0.1, 端口:8888. 当Fiddler会自动设置 *** , 退出的时候它会自动注销 *** ,这样就不会影响别的程序。不过如果Fiddler非正常退出,这时候因为Fiddler没有自动注销,会造成网页无法访问。解决的办法是重新启动下Fiddler.
Fiddler 如何捕获Firefox的会话
能支持HTTP *** 的任意程序的数据包都能被Fiddler嗅探到,Fiddler的运行机制其实就是本机上监听8888端口的HTTP *** 。Fiddler2启动的时候默认IE的 *** 设为了127.0.0.1:8888,而其他浏览器是需要手动设置的,所以将Firefox的 *** 改为127.0.0.1:8888就可以监听数据了。
Firefox 上通过如下步骤设置 ***
点击: Tools - Options, 在Options 对话框上点击Advanced tab - network tab - setting.
Firefox 中安装Fiddler插件
修改Firefox 中的 *** 比较麻烦, 不用fiddler的时候还要去掉 *** 。推荐你在firefox中使用fiddler hook 插件, 这样你非常方便的使用Fiddler获取firefox中的request 和response,当你安装fiddler后,就已经装好了Fiddler hook插件,你需要到firefox中去启用这个插件打开firefox tools-Add ons - Extensions 启动 FiddlerHook
F
四大 *** 抓包神器,总有一款适合你~
无论是开发还是测试,在工作中经常会遇到需要抓包的时候。本篇文章 主要介绍如何在各个平台下,高效的抓包。
目前的抓包软件总体可以分为两类:
一种是设置 *** 抓取http包,比如Charles、mitmproxy这些软件。
另一种是直接抓取经过网卡的所有协议包,其中最出名就是大名鼎鼎的wireshark以及linux自带的抓包软件tcpdump。
下面重点介绍一下这四个抓包工具的特点以及使用。
wireshark想必大多数程序员都不会陌生。wireshark在各个平台都可以安装使用,它 可以抓取经过指定网卡的所有协议。 wireshark虽然很强大,但是对初学者其实不是很友好。
这也正是由于它太强大,它可以抓取所有包,所以初学者在使用时面对茫茫数据流不知所措。初学者需要认真的去学习怎么过滤得到自己感兴趣的包,但是如果不熟悉wireshark的过滤语法,要过滤数据包将举步维艰。
过滤语法简单介绍
wireshark的过滤语法总结起来其实也很简单,就是 以协议开头,后面可以跟着协议的属性,然后加上一些判断符号, 比如contains、==、、等等。比如只想展示http的协议内容,则直接在过滤器输入框中输入http即可。
如下图:
比如我 只想看http协议的请求头中uri包含’/api’的协议,就可以这么写:
如果想通过目标ip或者来源ip来过滤包,就不可以以http协议为前缀了,因为这些是ip协议的相关属性。 通过目标ip来过滤可以这么写:
上面表示目标机器的ip是61.135.217.100并且协议是http的包。
wireshark支持很多种协议,我们可以通过右上角的expression来打开搜索支持的协议,还可以找出协议支持的属性,然后填入期待的值,软件会自动为我们构建过滤语句。
优点:
功能强大,可以抓取所有协议的包
抓到的包容易分析
缺点:
由于线上服务器没有GUI,只有命令行,因此无法在线上服务器使用
无法分析https数据包,由于wireshark是在链路层获取的数据包信息,所以获取到的https包是加密后的数据,因此无法分析包内容。当然,我们可以对https数据包进行解密, 但是操作具有一定的复杂度,可能要消耗很多时间。
tcpdump是linux上自带的一个抓包软件(mac也有),功能强大,也可以抓取经过指定网卡的所有协议包。
由于是命令行工具,tcpdump抓取到的包不易于分析,一个常见的做法是将tcpdump抓到的包输出到某个文件,然后将文件拷贝下来用wireshark分析。
一些简单的过滤参数:
抓包内容输出到文件:
之后我们可以把test.cap直接用wireshark打开,就可以很直观的分析包了。
用tcpdump输出cap文件包:
tcpdump-r test.cap
Charles是一款http抓包工具,它是通过 *** 来实现的抓包。也就是我们在访问网页时需要配置 *** ,将 *** 指向Charles监听的端口,之后我们的http请求都会发向Charles的端口,之后Charles会帮我们转发并记录协议内容。
Charles的使用非常简单,配置好 *** 后,Charles就开始抓包了。
我们可以直接通过Charles的GUi查看包的内容:
上图中的unknown表示https加密后的数据,所以看到不协议的具体内容。我们可以通过安装Charles的证书,让Charles也可以查看https协议的具体内容。
优点 :
使用简单,只需配置一下 *** 地址就可以
要抓取https协议的配置也很简单,只要安装下charles的证书就可以了
mitmproxy是python写的一款http抓包工具,虽然只支持http抓包,但是它的特性非常强大,它不仅可以抓包,还可以对请求进行拦截、重现等操作。和Charles一样,它的原理也是基于 *** ,使用的时候需要设置 *** 指向它。
mitmproxy是命令行工具,但是也自带了mitmweb工具,可以让用户在网页上操作。另外,mitmproxy还支持用户自行编写插件,可以编写脚本对请求进行处理,然后把修改后的请求发出去。
1、安装
首先需要在机器安装python3以及pip3.之后通过pip3安装
pip3 install mitmproxy
如果安装mitmproxy过程中报错ModuleNotFoundError: No module named '_ssl',就需要安装一下OpenSSL,然后再重新编译安装一下python3。
安装好openSSL后再执行pip3 install mitmproxy
2、使用
安装后,直接在命令行输入mitmproxy就会进入它的交互界面:
这时候mitmproxy已经开始监听8080端口(默认),接着,我们可以去浏览器设置 *** 。浏览器设置 *** 的方式有很多,这里不多做介绍。
设置完 *** 后,访问浏览器的请求都会被发到mitmproxy上,mitmproxy根据规则对请求进行拦截(不配置拦截规则的话则都不拦截),所有经过的请求都会被输出:
在交互界面上可以通过快捷键操作请求。输入问号’?’,可以查看快捷键的文档。
3、下面介绍一些常用的快捷键和功能
① 请求过滤
在请求列表交互界面,按下f键后,可以输入一些过滤规则:
具体的过滤语法可以按下’?‘键后,再按下方向键右’—’或者l键。
② 请求拦截
按下i键后,可以对指定的请求进行拦截。按mitmproxy收到指定条件的请求时,不会立马把它转发出去,而是等待我们执行resume操作后,才会把请求转发出去——在这期间我们甚至可以对请求进行手动修改。
红色字体表示该请求被拦截,之后我们可以按入a键来恢复该请求,可以输入A键恢复所有被拦截的请求。
③ 查看/编辑请求
把指示光标移动到某个请求上,按回车可以查看请求的内容。或者鼠标直接点击请求也可以。
之后通过左右方向键可以查看request、response、detail等信息。
如果要编辑请求,可以在这个界面输入e,然后会让我们选择编辑哪块内容:
之后就会进入vim编辑界面编辑相应的内容了(保存后会生效)。
④ 重发请求
mitmproxy的光标指向某个请求时,按下r键可以重发这个请求(重发前可以对该请求进行编辑)。
按下’:’键后,可以输入命令,这样我们就可以通过过滤规则批量的重发请求
replay.client是mitmproxy内置的一个命令,我们也可以自行编写命令。命令的编写可以参考官网文档,这里不做介绍。
⑤ 插件开发
我们可以编写插件,然后再启动的时候指定插件,mitmproxy处理请求的时候会执行一个插件的链,这样我们就可以对请求进行编辑然后再发送出去了。
借用官网的插件demo:
这个 *** 对每一个请求进行处理,然后打印序号。通过mitmproxy -s test.py来让插件生效。通过插件可以绑定各种连接事件。感兴趣的朋友可以自行去mitmproxy官网看文档,这里不多做介绍。
⑥ 保存抓到的请求数据
通过w快捷键我们可以把这次抓到的请求包保存到文件上。
通过mitmproxy -r file可以读取以前抓取的请求信息进行分析。
优点:
命令行操作,可以在无GUI界面的服务器上使用
对于这几个抓包神器,我总结了下使用场景:
只抓http协议的话:
推荐使用mitmproxy。mitmproxy丰富的功能不仅可以满足我们的抓包需求,还可以提升我们的工作效率。比如测试可以抓包后一键重发请求来重现bug,开发调试的时候可以修改请求内容等等。
如果是在线上的没有GUI的服务器:
推荐使用tcpdump,虽然mitmproxy也可以支持命令行抓包,但是生产环境的服务器更好不要乱安装第三方插件。另外,大多数服务器都有装tcpdump。我们可以通过把请求的内容输出到文件,然后拷贝会自己的电脑用wireshark分析。
想要抓取http以外的协议的话:
直接上wireshark。功能强大。对于Charles,感觉用了mitmproxy之后,就基本用不上Charles了。Charles好像也可以编辑后再发送,但是感觉不是很好用,可能我用的不是很熟吧。
