我试图了解整个过程是如何运作的,但我不明白为什么当我访问一个未加密的网站并捕获该网站 IP 的数据包时,我无法在 wireshark 中搜索字符串。在浏览器上找不到任何单词。有人知道这是怎么回事吗?
答案1
默认情况下,你看到的是数据包中有效负载数据的二进制(十六进制)表示,对于纯文本网络流量来说,它将是ascii 编码
Wireshark 支持将二进制数据表示为 ascii 符号而不是二进制 - 这是一个写出详细信息怎么做。
以下是该链接中有关 HTTP 和 ASCII 查看部分的摘录:
如果您正在使用基于 TCP 的协议,那么以应用层的方式查看 TCP 流中的数据将非常有帮助。也许您正在 Telnet 流中寻找密码,或者您正在尝试理解数据流。也许您只需要一个显示过滤器来仅显示该 TCP 流的数据包。如果是这样,Wireshark 跟踪 TCP 流的能力将对您有用
...
流内容的显示顺序与网络上显示的顺序相同。从 A 到 B 的流量标记为红色,而从 B 到 A 的流量标记为蓝色。如果您愿意,可以在“首选项”对话框中的“颜色”页面中更改这些颜色。
不可打印的字符将被点替换。
进行实时捕获时,流内容不会更新。要获取最新内容,您必须重新打开对话框。
您可以选择以下操作:
另存为:以当前选定的格式保存流数据。
打印:以当前选定的格式打印流数据。
方向:选择要显示的流方向(“整个对话”、“仅从 A 到 B 的数据”或“仅从 B 到 A 的数据”)。
过滤掉此流:应用显示过滤器,从显示中删除当前 TCP 流数据。
关闭:关闭此对话框,使当前显示过滤器保持有效。
您可以选择以以下格式之一查看数据:ASCII:在此视图中,您可以看到来自每个方向的 ASCII 数据。显然最适合基于 ASCII 的协议,例如 HTTP。EBCDIC
:...