为什么需要抓包?
你在家里连WiFi,网页打不开,客服让你“抓个包看看”。你一脸懵:这玩意儿怎么搞?其实抓包没那么玄乎,就像监控ref="/tag/72/" style="color:#8B0506;font-weight:bold;">网络里的“行车记录仪”,把进出电脑的数据包一个个记下来,方便排查问题。
常用工具:Wireshark 简介
说到抓包,Wireshark 是最常用的开源工具,支持 Windows、macOS 和 Linux。它能实时捕获网卡上的数据流量,并按协议分类展示,清晰直观。
抓包前的准备
先去官网下载安装 Wireshark。安装时记得勾选 WinPcap 或 Npcap(Windows 下抓包依赖的驱动),不然没法监听网络接口。
打开软件后,你会看到一堆网络接口列表,比如“以太网”、“WLAN”。选你正在上网的那个,比如连的是WiFi,就点“WLAN”那一行,然后点左上角的蓝色鲨鱼图标开始抓包。
实际操作:抓一次网页访问的包
假设你想看看访问百度时网络发生了什么。先在 Wireshark 开始抓包,然后打开浏览器,输入 http://www.baidu.com 回车。
这时候 Wireshark 会刷出大量数据行。每一行代表一个网络封包,包含源地址、目标地址、协议类型、长度和简要信息。
你可以看到 DNS 查询(找百度 IP)、TCP 三次握手、HTTP 请求与响应等过程。点击任意一行,下方会拆解这个包的详细结构,从以太网头到 IP 头再到 TCP 或 HTTP 层,层层展开。
关键步骤图解说明
第一步:选择网卡
在主界面找到当前使用的网络连接,通常是 WLAN 或 Ethernet,双击启动捕获。
第二步:启动捕获
点击开始后,数据就会不断滚动。这时可以进行你要分析的操作,比如刷新网页、发消息、加载视频等。
第三步:停止并保存
操作完成后,点红色方块按钮停止抓包。建议立即保存为 .pcap 文件,避免下次还得重来。
加个过滤器,别被数据淹死
默认所有包都显示,太乱。可以在顶部过滤栏输入条件缩小范围。比如只看 HTTP 流量:
httpip.addr == 110.242.68.66查看一次完整的请求过程
找到一条 HTTP 请求,右键 → “Follow” → “TCP Stream”。这时会弹出一个窗口,显示客户端和服务器之间的完整会话内容,包括请求头、返回状态码等,像聊天记录一样清楚。
常见应用场景
开发调试时发现接口调不通,抓个包一看,原来是 DNS 解析失败;或者明明发了请求,对方没收到,结果发现 TCP 握手都没完成。还有时候 App 加载慢,抓包发现请求了十几个第三方资源,拖垮了速度。
公司内网访问不了某服务?抓包一看,是防火墙拦了特定端口。这些靠猜可不行,得有证据,而抓包就是那个“取证工具”。
注意事项
抓包只能获取自己设备发出和接收的数据。想抓别人手机的流量?除非做中间人攻击(不推荐也不合法),否则做不到。
另外,HTTPS 内容是加密的,你能看到请求哪个网址、用了什么域名,但看不到具体传输的数据,比如账号密码、聊天内容。这是加密协议保护隐私的基本机制。