7款常用《网络抓包工具》更新

发表于 2019年11月14日
安全工具
更新于 2024年09月06日 13:44:26 下午

目录表

网络抓包原理及常用抓包工具

作为一名合格的程序员、破解者、安全专家，网络抓包是一个很常见的需求，它们帮助用户理解网络通信细节，排查问题，进行安全审计等。如：网站抓包、PC软件抓包、手机抓包、APP抓包更被广泛应用。今天体验盒子整理了平时我们在使用的5款网络抓包工具，它们各有长短，比如wireshark通用且强大（但略显复杂）；Charles在代理抓包手机APP抓包方向很是优秀（但仅限于应用层）；Microsoft Network Monitor强大通用，且的直观的进程、分组分级展示体验很好（但不支持跨平台）。当然也还有如BurpSuite一样的优秀抓包工具。

为什么要抓包

定位网络接口问题
分析其他App数据接口
学习网络协议，使用抓包工具分析网络数据更直观

大部分场合都可以通过程序调试来定位问题，但有些场景使用抓包来定位接口问题更准确、更方便，如以下场景：

你发送数据给后台，但后台没有收到，可以对接口进行抓包分析，看是后台处理有问题，还是App没有将数据发出去，或是App发送数据格式有误
你和后台接口联调测通，但业务数据对不上，你认为是后台问题，后台认为是你发的问题，可以抓包确认问题所在
线上App出现bug需要定位，但你没在公司，没有代码可调试，可直接抓包分析
App页面渲染缓慢，抓包看下接口响应时长，是不是后台出现性能问题
需要测试弱网环境下App的体验？抓包工具可设置流量限制，可设置接口堵塞
想改变某接口的响应报文？想多次重发某一请求，但App业务流程有限制？可以试试抓包工具提供的功能

网络抓包原理

要实现对App的网络数据抓包，需要监控App与服务器交互之间的网络节点，监控其中任意一个网络节点（网卡），获取所有经过网卡中的数据，对这些数据按照网络协议进行解析，这就是抓包的基本原理。

但是中间网络节点，不受我们控制，所以基本无法实现抓包的，只能在客户端和服务端进行抓包。

常用网络抓包工具

Wireshark 抓包

支持协议：所有网络数据包协议
解包协议：IPsec，ISAKMP，Kerberos，SNMPv3，SSL/TLS，WEP/WPA/WPA2
支持平台：Windows，Linux，macOS，Solaris，FreeBSD，NetBSD
性质：免费、开源
概述：最广泛使用的开源网络协议分析器，支持所有主要网络协议。
功能：深度解包，适用于网络故障排查、安全分析、协议开发。
官网：https://www.wireshark.org

Wireshark是世界上使用最广泛的网络协议分析器，它是通用且强大的抓包工具。它使您可以从微观角度查看网络上发生的事情，并且是许多商业和非营利企业，政府机构和教育机构的事实上（通常是法律上）的标准。得益于全球网络专家的自愿贡献，Wireshark的发展得以蓬勃发展，并且是Gerald Combs在1998年启动的项目的延续。

Charles 抓包

支持协议：应用层（http、https ），调试web应用、修改http请求和响应数据；重定向请求数据，DNS欺骗，手机app抓包等
支持平台：Windows，Linux，macOS
性质：收费
概述：专为Web开发设计的HTTP代理服务器，适用于应用层抓包。
功能：修改请求/响应，DNS欺骗，适用于手机APP抓包。
官网：https://www.charlesproxy.com

Charles是一款HTTP代理/HTTP监视器/反向代理工具，使开发人员可以查看其计算机与Internet之间的所有HTTP和SSL/HTTPS通信。这包括请求，响应和HTTP标头（其中包含cookie和缓存信息）等。

Burp Suite 抓包

概述：流行的Web应用安全测试工具，包含抓包、扫描等功能。
功能：用于渗透测试，可自定义请求，支持代理和漏洞扫描。
平台：广泛支持，尤其在安全测试领域。
特点：有免费和专业版，适用于安全研究人员。
官网：https://portswigger.net/burp

Fiddler 抓包

支持协议：应用层（http、https ），调试web应用、修改http请求和响应数据；重定向请求数据，DNS欺骗，手机app抓包等
支持平台：Windows，Linux，macOS
性质：免费
概述：主要用于HTTP(S)协议的调试代理工具。
功能：请求/响应查看，性能测试，支持脚本编写。
官网：https://pc.qq.com/detail/10/detail_3330.html

Fiddler是位于客户端和服务器端的HTTP代理，也是目前最常用的http抓包工具之一。它能够记录客户端和服务器之间的所有 HTTP请求，可以针对特定的HTTP请求，分析请求数据、设置断点、调试web应用、修改请求的数据，甚至可以修改服务器返回的数据，功能非常强大，是web调试的利器。

QPA 抓包

支持协议：应用层（http、https ），进程抓包等
支持平台：windows(XP|Win7|Win8|Win10) linux
性质：免费、开源
概述：可能是一款专注于特定层面或具有特定功能的抓包工具。
功能：进程抓包，可能适用于Windows和Linux。
官网：http://www.l7dpi.com

一款开源开放的基于进程抓包、可自学习特征、提供正则表达式识别引擎的智能分析软件。主要应用于应用行为分析、应用特征提取，入侵行为分析、入侵规则提取等领域。支持长时间抓包与存储、支持大文件报文分析。

进程抓包：QPA是基于进程抓包的，实时准确判定每个包所属进程，优于仅基于网卡抓包的软件
分析智能：QPA按流量类型自动归类，分析简便，优于基于一条条会话的分析模式
识别引擎：QPA是基于正则表达式书写规则，能提取IP、端口、报长与内容等维度特征

Microsoft Network Monitor 抓包

支持协议：所有网络数据包协议
支持平台：Windows 7, Windows 8, Windows Server 2003 Service Pack 2, Windows Server 2003 Service Pack 2 x64 Edition, Windows Server 2008, Windows Server 2008 R2, Windows Server 2008 R2 for Itanium-based Systems, Windows Server 2012, Windows Vista 64-bit Editions Service Pack 1, Windows Vista Service Pack 1, Windows XP 64-bit, Windows XP Service Pack 3
性质：免费
概述：微软自家的网络监控工具，现已停更。
功能：专注于Windows网络环境的分析。
官网：http://www.microsoft.com/en-us/download/details.aspx?id=4865

一款微软出品的强大网络抓包工具，它功能强大且个人觉得在GUI体验方面胜于wireshark，有直观的数据包分组分级展现。进程抓包，还有强大的过滤与一键任意窗口抓包功能，很值得一试。遗憾的是它仅支持Windows系列系统，并不支持macOS及Linux。扩展：《网络抓包原理及常用抓包工具》