了解过网络安全技术的人都知道一个名词“抓包”。那对于局外人，一定会问什么是抓包？考虑到，大家的技术水平不一，我尽可能用非专业的口吻简单的说一下。

抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作，也用来检查网络安全。抓包也经常被用来进行数据截取等。黑客常常会用抓包软件获取你非加密的上网数据，然后通过分析，结合社会工程学进行攻击。所以，学会抓包，对于学好网络安全技术十分重要。

在我们做接口测试的时候，经常需要验证发送的消息是否正确，或者在出现问题的时候，查看手机客户端发送给server端的包内容是否正确，就需要用到抓包工具。而工程师和程序常用的抓包工具有哪些呢？今天我们就来简单聊一聊最常用的2种。

Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。

wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容。

总结，如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。

今天我们主要来学习一下在window上的Wreshark

学习的第一步，肯定是装软件，搭环境，下面我们即将开启软件安装之路

注意：Wireshark 支持多个操作系统，在下载安装文件的时候注意选择与自己PC的操作系统匹配的安装文件。（本次学习之路是在Windows10上完成，如果有小伙伴需要在Ubuntu上学习的，可以自行摸索前行，私下我们也可多交流，多学习）

建议大家在官网下载正版软件，免得安装盗版软件的时候，绑定好多垃圾软件，污染我们电脑，所以去官网上下载是最安全最保险的做法 官网传送门

正式安装 双击点开

（本部分参考传送门） 软件启动后的主界面 选择菜单栏上Capture -> Option，勾选WLAN网卡（这里需要根据各自电脑网卡使用情况选择，简单的办法可以看使用的IP对应的网卡）。点击Start。启动抓包。 执行需要抓包的操作，如ping www.baidu.com 下面进行主界面详细介绍 Wireshark过滤器设置 wireshark过滤器表达式的规则

1、抓包过滤器语法和实例

抓包过滤器类型Type（host、net、port）、方向Dir（src、dst）、协议Proto（ether、ip、tcp、udp、http、icmp、ftp等）、逻辑运算符（&& 与、|| 或、！非）

（1）协议过滤

比较简单，直接在抓包过滤框中直接输入协议名即可。

tcp，只显示TCP协议的数据包列表

http，只查看HTTP协议的数据包列表

icmp，只显示ICMP协议的数据包列表

（2）IP过滤

host 192.168.1.104

src host 192.168.1.104

dst host 192.168.1.104

（3）端口过滤

port 80

src port 80

dst port 80

（4）逻辑运算符&& 与、|| 或、！非

src host 192.168.1.104 && dst port 80 抓取主机地址为192.168.1.80、目的端口为80的数据包

host 192.168.1.104 || host 192.168.1.102 抓取主机为192.168.1.104或者192.168.1.102的数据包

！broadcast 不抓取广播数据包

2、显示过滤器语法和实例

（1）比较操作符

比较操作符有== 等于、！= 不等于、> 大于、< 小于、>= 大于等于、Time Display Format --> Date and Time of Day。调整后格式如下：

本部分参考：传送门

导语：在本文中，您将学习使用Wireshark捕获攻击者使用NMAP扫描时的网络数据包。这里您会注意到，Wireshark如何捕获不同的网络流量数据包，用于打开和关闭端口。

在本文中，您将学习使用Wireshark捕获攻击者使用NMAP扫描时的网络数据包。这里您会注意到，Wireshark如何捕获不同的网络流量数据包，用于打开和关闭端口。

TCP扫描

Tcp扫描将像端口22.21.23.44等扫描TCP端口，并通过源端口和目的端口之间的三次握手连接确保监听端口（打开）。如果端口打开，则使用SYN数据包发送请求，响应目的地发送SYN，ACK数据包然后发送ACK数据包，最后源再次发送RST，ACK数据包。

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

从给定的图像可以观察结果端口445是开放的。 查看通过wireshark捕获的源和目的地之间的数据包传输顺序。

您会注意到它已经捕获了与上述相同的标志序列：

· 源发送SYN包到目的地

· 目的地发送SYN，ACK到源

· 源发送ACK包到目的地

· 源再次发送RST，ACK到目的地

我们来看一下关闭端口的网络流量。根据给定的图像，显示扫描端口是否关闭，则源和目的地之间将无法进行3路握手连接。

源发送SYN包，如果端口关闭，接收方将通过RST，ACK发送响应。 键入以下NMAP命令进行TCP扫描，然后启动Wireshark捕获发送的数据包。

从给定的图像可以观察结果端口3389被关闭。 查看通过wireshark捕获的源和目的地之间的数据包传输顺序。您会注意到它已经捕获了与上述相同的标志序列：

源发送SYN包到目的地

目的地发送RST，ACK包到源 隐形扫描

SYN扫描是默认和最受欢迎的扫描选项，有很好的理由。它可以快速执行，在不受限制性防火墙阻碍的快速网络上每秒扫描数千个端口。它也是相对典型和隐秘的，因为它从未完成TCP连接。如果接收到SYN数据包（没有ACK标志），端口也被视为打开。

这种技术通常被称为半开放扫描，因为您没有打开完整的TCP连接。您发送一个SYN数据包，就好像要打开一个真实的连接，然后等待响应。SYN，ACK表示端口正在侦听（打开） 键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

从给定的图像可以观察结果端口22是开放的。 查看通过wireshark捕获的源和目的地之间的数据包传输顺序

源发送SYN数据包到目的地

目的地发送SYN，ACK数据包到源

源发送RST报文到目的地

现在，利用隐形扫描计算出关闭端口的流量。当源在特定端口发送SYN数据包时，如果端口关闭，则目的地将通过发送RST数据包进行回复。 键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

从给定的图像可以观察结果端口3389被关闭。 查看通过wireshark捕获的源和目的地之间的数据包传输顺序

源发送SYN数据包到目的地

目的地发送RST，ACK包到目的地

碎片扫描

通常在数据传输完成后，FIN数据包终止源端和目标端口之间的TCP连接。代替SYN数据包，Nmap通过使用FIN数据包开始FIN扫描。如果端口打开，则通过源端口发送FIN数据包时，目的端口不会响应。

键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

从给定的图像可以观察结果端口22是开放的。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序 · 源发送FIN包到目的地

· 目的地不发送回复来源 类似地，如果针对任何关闭执行Fin扫描，则源端口将向特定端口发送FIN数据包，并且目的地将通过发送RST，ACK数据包进行回复。 键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

从给定的图像可以观察结果端口3389是接近。 查看通过wireshark捕获的源和目的地之间的数据包传输顺序

· 源发送SYN数据包到目的地

· 目的地发送RST报文到目的地

空扫

空扫描是一系列TCP数据包，保存序列号为“0”（0000000），并且由于没有设置任何标志，目的地将不知道如何回复请求。它将丢弃数据包，并且不会发送回复，这表示端口是打开的。 键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

从给定的图像可以观察结果端口22是开放的。 查看通过wireshark捕获的源和目的地之间的数据包传输顺序

· 源发送Null数据包到目的地

· 目的地不发送回复来源

如果端口关闭，则当源在特定端口发送空数据包时，目的地将发送RST，ACK数据包 键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

从给定的图像可以观察结果端口3389是接近。 查看通过wireshark捕获的源和目的地之间的数据包传输顺序 · 源发送Null（无）数据包到目的地

· 目的地发送RST，ACK到源 UDP扫描

UDP扫描通过向每个目的端口发送UDP数据包来工作; 它是一个连接少协议。对于一些常见的端口如53和161，发送协议特定的有效载荷以增加响应速率，服务将使用UDP数据包进行响应，证明它是开放的。如果在重传后没有收到响应，则端口被分类为打开|过滤。这意味着端口可能是打开的，或者可能包过滤器阻塞通信。 键入以下NMAP命令进行TCP扫描，然后启动wireshark捕获发送的数据包。

从给定的图像可以观察结果端口161是开放的。

查看通过Wireshark捕获的源和目标之间的数据包传输顺序

· 源UDP发送到目的地址

· 目的地向源发送一些数据的UDP数据包 类似地，如果源端口发送UDP报文到目的端，则目的地发送回应ICMP报文端口不可达到适当的错误。 键入以下NMAP命令进行TCP扫描，然后启动Wireshark捕获发送的数据包。

从给定的图像可以观察结果端口53是接近。

查看通过wireshark捕获的源和目的地之间的数据包传输顺序

· 源UDP发送到目的地址

· 目的地发送ICMP报文端口不可达源