[系统运维]抓包工具汇总

一、wireshark

Wireshark是一款世界范围最广、最好用的网络封包分析软件，功能强大，界面友好直观，操作起来非常方便。 它的创始人是Gerald Combs，前身是Ethereal，作为开源项目经过众多开发者的完善它已经成为使用量最大的安全工具之一。 在CTF中也经常会使用wireshark进行流量数据包分析，可以快速检测网络通讯数据，获取最为详细的网络封包资料。

官网：Wireshark

官方文档：Wireshark用户指南 (wireshark.org)

Wireshark是一款很专业的网络分析工具，网络相关的技术大佬都不陌生，该工具可以进行详细网络链路分析、网络问题排查，详细流量展示等。最后推荐一款入门图书《Wireshark网络分析就这么简单》，本书利用实例和面试题简单介绍了Wireshark，很适合初学者阅读。

二、Tcpdump

tcpdump 是一款强大的网络抓包工具，dump the traffice on anetwork，对网络上的数据包进行截获的包分析工具。熟练掌握 tcpdump 可以方便我们跟踪解决网络丢包，重传，数据库链路调用等问题。在网络问题的调试中，tcpdump应该说是一个必不可少的工具，和大部分linux下优秀工具一样，它的特点就是简单而强大。它是基于Unix系统的命令行式的数据包嗅探工具，可以抓取流动在网卡上的数据包。

官网：TCPDUMP/LIBPCAP

tcpdump主要是命令行交互进行抓包，但是不能实时展示抓包过程中抓到的流量，tcpdump(需Root用户运行)拦截和显示发送或收到过网络连接到该机器的TCP/IP和其他数据包。简单说就监控手机进出网络数据，现在的网络环境中使用https的越来越多，在Android使用有一定的硬件要求，因为需要root用户运行，则需要root设备运行才可以抓到https解密后的数据。

三、Mitmproxy

Mitmproxy是一款免费、开放的基于Python 开发的交互式HTTPS代理工具。Mitmproxy是一个使用python编写的中间人代理工具，跟Fiddle、Charles等等的抓包工具是差不多的，同样可以用于拦截、修改、保存http/https请求。比起Fiddle、Charles，mitmproxy有一个最大的特点是支持python自定义脚本。

官网：mitmproxy

Mitmproxy还支持命令行交互和web?Interface，适用于各种去情况。当然最强大的还是结合python来使用。Mitmproxy和python结合可以把抓包和抓包分析的过程连接到一起，使用python对抓包结果直接读取并进行自动化处理，直接获取想要的结果，实现了简单的闭环。

Mitmproxy与Fiddler、Charles异同

1、相同点

1. 都是用来捕获 HTTP，HTTPS 请求的（其他协议比如 TCP,UDP,IP,ICMP 等就用Wireshark）
2. 抓包、断点调试、请求替换、构造请求、模拟弱网等

2、不同点

1. Fiddler只能运行在Windows系统；Mitmproxy、Charles是跨平台的，可运行在Windows、Mac或Linux系统等。
2. Fiddler、Mitmproxy开源免费、Charles是收费的（可破解）。
3. Mitmproxy支持命令行交互模式、GUI界面，Fiddler、Charles仅支持GUI界面（Fiddler底部有个命令行工具叫做 QuickExec）

四、Fiddler

Fiddler是位于客户端和服务器端的HTTP代理，也是目前最常用的http抓包工具之一 。 它能够记录客户端和服务器之间的所有 HTTP请求，可以针对特定的HTTP请求， 分析请求数据、设置断点、调试web应用、修改请求的数据，甚至可以修改服务器返回的数据 。 既然是代理，也就是说：客户端的所有请求都要先经过Fiddler，然后转发到相应的服务器，反之，服务器端的所有响应，也都会先经过Fiddler然后发送到客户端，所以web客户端和服务器的请求如图1所示： 注：使用Fiddler的话，需要先设置浏览器的代理地址，才可以抓取到浏览器的数据包。 而很方便的是在你启动该工具后，它就已经自动帮你设置好了浏览器的代理了 ，当关闭后，它又将浏览器代理还原了。

官网：Fiddle (telerik.com)

五、Charles

Charles 是在 PC 端常用的网络封包截取工具，在做移动开发时，我们为了调试与服务器端的网络通讯协议，常常需要截取网络封包来分析。除了在做移动开发中调试端口外，Charles 也可以用于分析第三方应用的通讯协议。配合 Charles 的 SSL 功能，Charles 还可以分析 Https 协议。Charles 通过将自己设置成系统的网络访问代理服务器，使得所有的网络访问请求都通过它来完成，从而实现了网络封包的截取和分析。

官网：Charles