wireshark抓包:分析阿裡小蜜網絡通信方式

為什麼需要抓包

有時候需要分析一些軟體的網絡請求過程,分析一些有價值的資訊.

操作步驟

手機連接配接到電腦分享的WiFi上

1. 選擇監聽目标網卡

我的是電腦上通過獵豹分享了一個熱點給手機.

2. 通過分享WiFi熱點的軟體找到手機的ip

3. 在Wireshark上過濾這個ip

按照IP過濾

ip.addr ==  and ssl
           

ip.addr ==  and tcp.port== 
           

按照源IP過濾

ip.srceq192
           

按照目标IP過濾

檢視發給187的port==443上的資料

ip.dsteq125 and tcp.port ==
           

看一下來回的資料

ip.dst ==  or ip.src == 
           

手機直接通過tcpdump抓包

這個方式有幾個局限:

1. 需要root手機

2. 需要安裝tcpdump

3. 收集tcpdump的抓包資料檔案

3. 資料檔案傳到電腦需要通過wireshark分析

确認一下淘寶小蜜有沒有心跳

0. 盡量幹掉手機中的其它聯網app

1. 打開小蜜的頁面

2. 文本框中輸入一些文本

3. 網絡準備好之後直接回車

4. 等待10分鐘然後暫停

5. 儲存資料并且分析和本地ip通信的對應IP

dig通過ip反查域名

dig +noall +answer -x 140.205.193.59
;; *noall*和*answer*參數表示隻顯示查詢結果.
;;不一定能查出來,這個依賴ISP.
           

暫時沒有想到好的辦法來反查域名，或者确定一些資料.但是基本上可以斷定小蜜走的是https.

因為從抓包的資料互動上看到的ip和等待中的ip位址不同.

總結

通過抓包大概能看出小蜜的通信方式是https.

環境和工具

window 7

wireshark

獵豹WiFi

一個抓包截圖