“ Fiddler抓包工具使用。”
Fiddler作为一个PC端的HTTP/HTTPS协议分析工具,能够抓取PC上的流量,并且它对HTTP类数据的分析,要比Wireshark要简单,友好,它对数据的组织格式很好地提高了分析效率。
本文介绍如何在PC上使用Fiddler进行HTTP分析。
01
—
安装
Fiddler是一款免费软件,可以到其官网下载,地址是https://www.telerik.com/fiddler,也可以从我的网盘中下载,发送“fiddler”获取下载地址。
安装只需要一路Next即可。
02
—
抓包
我们从桌面、开始菜单或者其它任何位置,找到Fiddler启动项,点击,即可进入Fiddler界面。进入Fiddler后,会自动进行抓包。
如果需要停止抓包,则点击菜单File->Capture Traffic即可。再次点击则会继续抓包。如果在抓包状态,则菜单项前会有个勾。
03
—
常用分析界面
在Fiddler界面左侧,是会话session信息,描述了每个会话的基本信息,包括协议,Host,URL,Body,Content-Type,Result,进程等信息。
点击每个会话,会进入到具体的会话内。
在Fiddler界面右侧,则包含9个子页面,每个页面功能不同,对协议分析而言,常用的页面为Statistics页面和Inspectors页面,掌握这两个页面的使用,就能适应大多数应用场景。
在Statistics页面,展示了会话的基本统计信息,包括收发字节数和各项性能数据。
而Inspectors页面,则展示了会话的详细信息,以及各种不同的展示方法,上部对应请求数据,下部对应响应数据。
经常使用的几项内容含义如下:
Headers:分别为请求和响应的HTTP头部信息。
TextView:分别为请求和响应的HTTP数据体部分信息,当请求为POST时,则存在数据体。
WebForms:格式化的请求数据,包括HTTP头部及内容体。
HexView:整个请求和响应的16进制展示。
Cookies:请求和响应中的Cookies信息。
04
—
解压
当一个会话的响应部分被压缩编码或需要解chunked,Fiddler并不会主动进行解码操作,则需要点击提示“Response body is encoded. Click to decode.“进行解压操作。点击后,在响应部分的TextView中会显示解压后的数据。
05
—
解HTTPS
对HTTPS会话,Fiddler默认并不会进行解密,而只会显示SSL相关信息,并给出提示。
如果需要解密HTTPS,则需要点击上图类似黄色的提示进入设置界面:
勾选”Decode HTTPS traffic“,为PC导入证书。在之后的抓包中,所有经过Fiddler的HTTPS流量都会被解密。
06
—
查找关键字
在协议分析过程中,经常要用到使用关键字进行会话及位置的查找。Fiddler内,可以对所有抓到的会话进行查找,Ctrl+f即可调出界面:
输入关键字,选择查找位置,以及设定查找细节,即可查找到符合要求的会话。含关键字的会话默认会以黄色高亮显示。
Fiddler的会话内,在TextView等项内,也可以进行会话内的查找。
这个查找类似与一般文本工具的查找功能。
对Fiddler的使用暂时先介绍到这里,应该能满足大部分协议分析的需要,后续会对更深入的功能进行介绍。如果有需要,请随时关注本公众号。
长按进行关注。