1. 程式人生 > >Fiddler 抓包工具總結

Fiddler 抓包工具總結

序章

Fiddler是一個蠻好用的抓包工具,可以將網路傳輸傳送與接受的資料包進行截獲、重發、編輯、轉存等操作。也可以用來檢測網路安全。反正好處多多,舉之不盡呀!當年學習的時候也蠻費勁,一些蠻實用隱藏的小功能用了之後就忘記了,每次去網站上找也很麻煩,所以蒐集各大網路的資料,總結了一些常用的功能。

下載Fiddler要FQ,我費了好大得勁才翻出去下載到…

win8之後用“Fiddler for .NET4”而win8之前用“Fiidler for .NET2”比較好

image

1. Fiddler 抓包簡介

Fiddler是通過改寫HTTP代理,讓資料從它那通過,來監控並且擷取到資料。當然Fiddler很屌,在開啟它的那一瞬間,它就已經設定好了瀏覽器的代理了。當你關閉的時候,它又幫你把代理還原了,是不是很貼心。。。

image

1) 欄位說明

Fiddler想要抓到資料包,要確保Capture Traffic是開啟,在File –> Capture Traffic。開啟後再左下角會有顯示,當然也可以直接點選左下角的圖示來關閉/開啟抓包功能。

image

Fiddler開始工作了,抓到的資料包就會顯示在列表裡面,下面總結了這些都是什麼意思:

image

名稱

含義

#

抓取HTTP Request的順序,從1開始,以此遞增

Result

HTTP狀態碼

Protocol

請求使用的協議,如HTTP/HTTPS/FTP等

Host

請求地址的主機名

URL

請求資源的位置

Body

該請求的大小

Caching

請求的快取過期時間或者快取控制值

Content-Type

請求響應的型別

Process

傳送此請求的程序:程序ID

Comments

允許使用者為此回話新增備註

Custom

允許使用者設定自定義值

圖示

含義

clip_image001[13]

請求已經發往伺服器

clip_image002[4]

已從伺服器下載響應結果

clip_image003[4]

請求從斷點處暫停

clip_image004[4]

響應從斷點處暫停

clip_image005[4]

請求使用 HTTP 的 HEAD 方法,即響應沒有內容(Body)

clip_image006[4]

請求使用 HTTP 的 POST 方法

clip_image007[4]

請求使用 HTTP 的 CONNECT 方法,使用 HTTPS 協議建立連線隧道

clip_image008[4]

響應是 HTML 格式

clip_image009[4]

響應是一張圖片

clip_image010[4]

響應是指令碼格式

clip_image011[4]

響應是 CSS 格式

clip_image012[4]

響應是 XML 格式

clip_image013[4]

響應是 JSON 格式

clip_image014[4]

響應是一個音訊檔案

clip_image015[4]

響應是一個視訊檔案

clip_image016[4]

響應是一個 SilverLight

clip_image017[4]

響應是一個 FLASH

clip_image018[4]

響應是一個字型

clip_image019[4]

普通響應成功

clip_image020[4]

響應是 HTTP/300、301、302、303 或 307 重定向

clip_image021[4]

響應是 HTTP/304(無變更):使用快取檔案

clip_image022[4]

響應需要客戶端證書驗證

clip_image023[4]

服務端錯誤

clip_image0244

會話被客戶端、Fiddler 或者服務端終止

2). Statistics 請求的效能資料分析

好了。左邊看完了,現在可以看右邊了

隨意點選一個請求,就可以看到Statistics關於HTTP請求的效能以及資料分析了(不可能安裝好了Fiddler一條請求都沒有…):

image

3). Inspectors 檢視資料內容

Inspectors是用於檢視會話的內容,上半部分是請求的內容,下半部分是響應的內容:

image

4). AutoResponder 允許攔截指定規則的請求

AutoResponder允許你攔截指定規則的求情,並返回本地資源或Fiddler資源,從而代替伺服器響應。

看下圖5步,我將“baidu”這個關鍵字與我電腦“f:\Users\YukiO\Pictures\boy.jpeg”這張圖片綁定了,點選Save儲存後勾選Enable rules,再訪問baidu,就會被劫持。

這個玩意有很多匹配規則,如:

1. 字串匹配(預設):只要包含指定字串(不區分大小寫),全部認為是匹配

字串匹配(baidu)是否匹配
http://www.baidu.com 匹配
http://pan.baidu.com 匹配
http://tieba.baidu.com 匹配

2. 正則表示式匹配:以“regex:”開頭,使用正則表示式來匹配,這個是區分大小寫的

字串匹配(regex:.+.(jpg | gif | bmp ) $)是否匹配
http://bbs.fishc.com/Path1/query=foo.bmp&bar 不匹配
http://bbs.fishc.com/Path1/query=example.gif 匹配
http://bbs.fishc.com/Path1/query=example.bmp 匹配
http://bbs.fishc.com/Path1/query=example.Gif 不匹配

image

image

4). Composer 自定義請求傳送伺服器

Composer允許自定義請求傳送到伺服器,可以手動建立一個新的請求,也可以在會話表中,拖拽一個現有的請求

Parsed模式下你只需要提供簡單的URLS地址即可(如下圖,也可以在RequestBody定製一些屬性,如模擬瀏覽器User-Agent)

image

5). Filters 請求過濾規則

Fiters 是過濾請求用的,左邊的視窗不斷的更新,當你想看你係統的請求的時候,你重新整理一下瀏覽器,一大片不知道哪來請求,看著礙眼,它還一直重新整理你的螢幕。這個時候通過過濾規則來過濾掉那些不想看到的請求。

image

勾選左上角的Use Filters開啟過濾器,這裡有兩個最常用的過濾條件:Zone和Host

1、Zone 指定只顯示內網(Intranet)或網際網路(Internet)的內容:

image

2、Host 指定顯示某個域名下的會話:

image

如果框框為黃色(如圖),表示修改未生效,點選紅圈裡的文字即可

6). Timeline 請求響應時間

在左側會話視窗點選一個或多個(同時按下 Ctrl 鍵),Timeline 便會顯示指定內容從服務端傳輸到客戶端的時間:

image

2. Fiddler 設定解密HTTPS的網路資料

Fiddler可以通過偽造CA證書來欺騙瀏覽器和伺服器。Fiddler是個很會裝逼的好東西,大概原理就是在瀏覽器面前Fiddler偽裝成一個HTTPS伺服器,而在真正的HTTPS伺服器面前Fiddler又裝成瀏覽器,從而實現解密HTTPS資料包的目的。

解密HTTPS需要手動開啟,依次點選:

1. Tools –> Fiddler Options –>  HTTPS

image

2. 勾選Decrypt HTTPS Traffic

image

3. 點選OK

image

3. Fiddler 抓取Iphone / Android資料包

想要Fiddler抓取移動端裝置的資料包,其實很簡單,先來說說移動裝置怎麼去訪問網路,看了下面這張圖,就明白了。

image

可以看得出,移動端的資料包,都是要走wifi出去,所以我們可以把自己的電腦開啟熱點,將手機連上電腦,Fiddler開啟代理後,讓這些資料通過Fiddler,Fiddler就可以抓到這些包,然後發給路由器(如圖):

image

1. 開啟Wifi熱點,讓手機連上(我這裡用的360wifi,其實隨意一個都行)

image

2. 開啟Fidder,點選選單欄中的 [Tools] –> [Fiddler Options]

image

3. 點選 [Connections] ,設定代理埠是8888, 勾選 Allow remote computers to connect, 點選OK

image

4. 這時在 Fiddler 可以看到自己本機無線網絡卡的IP了(要是沒有的話,重啟Fiddler,或者可以在cmd中ipconfig找到自己的網絡卡IP)

image

image 

5. 在手機端連線PC的wifi,並且設定代理IP與埠(代理IP就是上圖的IP,埠是Fiddler的代理埠8888)

image

6. 訪問網頁輸入代理IP和埠,下載Fiddler的證書,點選下圖FiddlerRoot certificate

image

【注意】:如果開啟瀏覽器碰到類似下面的報錯,請開啟Fiddler的證書解密模式(Fiddler 設定解密HTTPS的網路資料)

No root certificate was found. Have you enabled HTTPS traffic decryption in Fiddler yet?

208B4A022896FE5008CFDBD54105185D          13D99A1D77D5528F3EFBA0C3DEA3BD28

FDE79CDC9CB62CC6CF68F98C33CB281A          8F268C0A1192E2DF41BD0F5DEFD525D9

7. 安裝完了證書,可以用手機訪問應用,就可以看到擷取到的資料包了。(下圖選中是布卡漫畫的資料包,下面還有QQ郵箱的)

image

4. Fiddler 內建命令與斷點

Fiddler還有一個藏的很深的命令框,就是眼前,我用了幾年的Fiddler都沒有發現它,偶爾在別人的文章發現還有這個小功能,還蠻好用的,整理下記錄在這裡。

FIddler斷點功能就是將請求截獲下來,但是不傳送,這個時候你可以幹很多事情,比如說,把包改了,再發送給伺服器君。還有balabala一大堆的事情可以做,就不舉例子了。

image

命令

對應請求項

介紹

示例

?

All

問號後邊跟一個字串,可以匹配出包含這個字串的請求

?google

>

Body

大於號後面跟一個數字,可以匹配出請求大小,大於這個數字請求

>1000

<

Body

小於號跟大於號相反,匹配出請求大小,小於這個數字的請求

<100

=

Result

等於號後面跟數字,可以匹配HTTP返回碼

=200

@

Host

@後面跟Host,可以匹配域名

@www.baidu.com

select

Content-Type

select後面跟響應型別,可以匹配到相關的型別

select image

cls

All

清空當前所有請求

cls

dump

All

將所有請求打包成saz壓縮包,儲存到“我的文件\Fiddler2\Captures”目錄下

dump

start

All

開始監聽請求

start

stop

All

停止監聽請求

stop

斷點命令 

bpafter

All

bpafter後邊跟一個字串,表示中斷所有包含該字串的請求

bpafter baidu(輸入bpafter解除斷點)

bpu

All

跟bpafter差不多,只不過這個是收到請求了,中斷響應

bpu baidu(輸入bpu解除斷點)

bps

Result

後面跟狀態嗎,表示中斷所有是這個狀態碼的請求

bps 200(輸入bps解除斷點)

bpv / bpm

HTTP方法

只中斷HTTP方法的命令,HTTP方法如POST、GET

bpv get(輸入bpv解除斷點)

g / go

All

放行所有中斷下來的請求

g

示例演示:

?

image

>

image

<

image

=

image

@

image

select

image

cls

image

dump

image

斷點命令:

斷點可以直接點選Fiddler下圖的圖示位置,就可以設定全部請求的斷點,斷點的命令可以精確設定需要截獲那些請求。如下示例:

image

命令:

bpafter

image   image

bps

image

image

bpv

image

image

g / go

image

image

相關推薦

no