抓包&网络分析

• 浏览器
  • F12->Network
  • 只能看到http层的
• Wireshark
  • 各层的网络包都能看到
  • 强大的包解析、过滤功能（分为抓取时的过滤和查看分析时的过滤）
• tcpdump
  • Linux上的工具，可以用来抓取指定网卡的数据，还可以保存到文件（可以当成pcap格式放到Windows上直接用Wireshark打开）。
  • 通过-i指定要抓包的网卡（可以先用ifconfig命令来看一下网卡列表中哪一个是需要的）
  • 通过-w指定要保存的文件路径及名称，cap、pcap、pcapng等格式都可以拷到Windows后用Wireshark打开
  • 也可以类似Wireshark那样通过表达式过滤要抓的包，可以过滤host、port、protocol等。
  • 有时会遇到权限问题，并不是tcpdump命令用不了，而是没有权限获取目标网卡或其他device的数据，可能需要通过调整权限或使用root登录来解决。
  • tcpdump -i eth0 -w xxx.cap
• Burp
  • 可以对网络包进行拦截（对方就暂时收不到了）、修改、重发、修改证书（貌似只是使用自己生成的证书去发起连接，并不能替换响应中的服务端证书）、分析等。
  • 貌似必须先修改系统、浏览器代理到指定端口，然后再Burp中配置该127.0.0.1:port才能得到数据？
  • 貌似只能截取http协议数据！？
  • 并不像Wireshark那样可以抓取网卡上所有的层次和协议的请求？