关于websocket抓包时的注意事项

最新推荐文章于 2025-05-10 09:50:05 发布
最新推荐文章于 2025-05-10 09:50:05 发布
阅读量2.4k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: websocket java 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tusong86/article/details/128345221
本文详细解析了WebSocket客户端和服务端的数据交互过程,重点介绍了客户端和服务端如何通过掩码进行数据的异或运算,确保数据的安全传输,并解释了Sec-WebSocket-Key、Sec-WebSocket-Protocol和Sec-WebSocket-Accept等关键字段的作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

总是需要一些原因,需要查看客户端和服务端的websocket数据交互,为了使得查看方便,客户端和服务端使用ws而非wss。
服务端部署在linux上,用tcpdump抓包后,在windows上用wireshark打开,如下所示:
在这里插入图片描述
红色部分的是客户端发往服务端的,蓝色部分是服务端发往客户端的,很明显,客户端发往服务端的字符串无法看懂。

这是一些安全的原因,从客户端发送到服务端的帧全部要与掩码进行异或运算过才有效,而服务端发送到客户端的帧不需要进行异或运算

所以客户端发往服务端的数据是真实数据经过异或后处理的。

如下所示,是客户端发往服务端的wireshark的抓包截图,可以看到Masked payload,这是客户端发给服务端的真实数据,不具备可读性,wireshark根据Masking-Key和Masked payload得到Payload,这个是就是异或前的数据,具有可读性。
在这里插入图片描述

下面接着看下服务端发往客户端的抓包,如下所示,很明显,没有Masked payload,说明服务端发往客户端的数据没有进行异或运算,具备可读性。
在这里插入图片描述

下面说明下客户端发往服务端时,原始数据的异或运算规则
假设payload长度为pLen,masking-key长度为mLen,i作为payload的游标,j作为masking-key的游标,代码如下:

for (i = 0; i < pLen; i++){    int j = i % mLen;
    maskedPayload[j] = payload[j] ^ maskingKey[j];
}

下面用抓包的数据进行演示:
如下所示:Maked payload是经过掩码处理的,第一个字节是16进制的76。
在这里插入图片描述
现在我们鼠标点击Payload,查看其情况,如下所示,第一个字符是16进制的7b
在这里插入图片描述

现在来验证下原始数据中的第一个字节7b经过掩码的异或运算变为76.

对照前面发的掩码运算代码,masking-key是0d02747e,4个字节。
maskedPayload[0] = payload[0] ^ maskingKey[0];

payload[0]为7b,二进制表示为0111 1011
而maskingKey是0d02747e,则maskingKey[0]为0d,二进制表示为0000 1101
这两个二进制进行异或,结果的二进制表示为0111 0110,16进制表示即为76。

下面就websocket中的开始交互时的报文做下阐述,如下所示,是交互的过程

GET / HTTP/1.1
Connection: Upgrade
Host: 10.0.0.197:9002
Sec-WebSocket-Key: tUR8nKgcWk3ObiwSAkJXSw==
Sec-WebSocket-Protocol: janus-protocol
Sec-WebSocket-Version: 13
Upgrade: websocket
User-Agent: WebSocket++/0.8.2

HTTP/1.1 101 Switching Protocols
Connection: Upgrade
Sec-WebSocket-Accept: YMmVJR32roxutjWu514lSm++izY=
Server: WebSocket++/0.8.2
Upgrade: websocket

本人此处想解释客户端发的Sec-WebSocket-Key,Sec-WebSocket-Protocol,以及服务端回复的Sec-WebSocket-Accept这三个字段。

首先Sec-WebSocket-Protocol代表着协议,比如大名鼎鼎的janus,要求必须填写此字段,否则无法连接到janus服务端。

我们看下janus中的如下代码
在这里插入图片描述
很明显,其支持http-only和janus-protocol两种连接方式,如果ws客户端不指定Sec-WebSocket-Protocol,或者指定值出错,则janus拒绝。

Sec-WebSocket-Key和Sec-WebSocket-Accept主要用于客户端校验服务端确实是ws服务端,这里的校验规则如下:
服务端将Sec-WebSocket-Key 的内容与标准定义的唯一GUID字符(258EAFA5-E914-47DA-95CA-C5AB0DC85B11)串拼接起来,计算出SHA1散列值,结果是一个base-64编码的字符串,把这个字符串发给客户端即可

本示例中的Sec-WebSocket-Key是tUR8nKgcWk3ObiwSAkJXSw==,跟GUID组合成下面字符串
tUR8nKgcWk3ObiwSAkJXSw==258EAFA5-E914-47DA-95CA-C5AB0DC85B11
将此字符串进行sha1运算,得到如下字符串:
60c995251df6ae8c6eb635aee75e254a6fbe8b36
该字符串是16进制表示,很遗憾本人未能找到sha1后编码成base64的在线网页。
而实际上本人经过处理,发现60c995251df6ae8c6eb635aee75e254a6fbe8b36和YMmVJR32roxutjWu514lSm++izY=分别是同一个字符串的16进制表示和base64表示。

如下所示,本人将YMmVJR32roxutjWu514lSm++izY=还原,然后内存窗口中查看out地址,16进制展示,刚好对应。
在这里插入图片描述

tusong86
关注
抓包Android移动端APP的https协议报文
chengjinxuetang的博客
06-16 153
Charless 介绍 1.雷电模拟器安装设置 1.1 安装模拟器 1.2 模拟器设置 2.PC电脑上的证书查看及清理 3.安装抓包工具 Charles 并安装根证书 4.Charles代理设置 5.设置模拟器WIFI代理并下载安装证书 6.RootExplorer安装及使用 7.测试抓包APP网络请求数据
原来你是这样的Websocket--抓包分析
热门推荐
宋文杰的博客
05-20 1万+
之前自己一个人负责完成了公司的消息推送服务,和移动端配合完成了扫码登录、订单消息推送、活动消息广播等功能。为了加深自己对Websocket协议的理解,自己通过进行抓包的方式学习了一番。现在分享出来,希望对大家能有所帮助。Chrome控制台(1)F12进入控制台,点击Network,选中ws栏,注意选中Filter。(2)刷新页面会得到一个ws链接。(3)点击链接可以查看链接详情注意红框标出的信息,...
websocket抓包linux,Websocket 抓包
weixin_33416318的博客
05-16 777
浏览器控制台(1)F12进入控制台,点击Network,选中ws栏,注意选中Filter。(2)刷新页面会得到一个ws链接。(3)点击链接可以查看链接详情测试网站http://www.websocket.org/echo.htmlfiddler抓包Websocket1、fiddle配置 点击Rules选着Customize Rules,在FiddlerScript中找到如下代码进行调整在class...
webSocket抓包分析
weixin_44975322的博客
10-26 2991
项目中浏览器需要和后端服务器联调,遇到各种webSocket连接问题,只能采用抓包来分析问题源头,具体参考下文: https://blog.youkuaiyun.com/u014252478/article/details/84380643
【fiddler】fiddler抓取websocket
weixin_71807218的博客
06-21 2141
1.先了解流下载4.5版本以上的fiddler如图所示:在rules--customize rules 里面插入以下代码://右边会出现websocket3,,切记:双击websocket才会出现传输的消息一般在message里面主动断开链接在最下面有个close4.log日志分析client代表客户端发送的,server代表服务器相应的请求。
SpringBoot 使用 WebSocket注意事项
xixisi888的博客
09-03 964
WebSocket 实例 WebSocket 协议本质上是一个基于 TCP 的协议。为了建立一个 WebSocket 连接,客户端浏览器首先要向服务器发起一个 HTTP 请求,这个请求和通常的 HTTP 请求不同,包含了一些附加头信息,其中附加头信息"Upgrade: WebSocket"表明这是一个申请协议升级的 HTTP 请求,服务器端解析这些附加的头信息然后产生应答信息返回给客户端,客户端和服务器端的 WebSocket 连接就建立起来了,双方就可以通过这个连接通道自由的传递信息,并且这个连接会持续存
抓包工具charles.zip
05-07
1. 分析WebSocket通信:Charles支持WebSocket协议的抓包,可查看WebSocket连接的建立、消息交换等细节。 2. 使用Proxy Export导出抓包数据:对于需要分享或离线分析的抓包数据,可以使用Proxy Export功能将其导出为...
Fiddler.rar抓包工具
01-13
注意事项 - **HTTPS解密**:由于HTTPS加密,Fiddler需要安装证书以解密通信。在信任Fiddler证书前,请确认来源,避免安全风险。 - **性能影响**:长间开启Fiddler可能会影响电脑性能,不使用应关闭。 - **...
PHP中WebSocket心跳机制错误的解决方法
最新发布
shejizuopin的博客
05-10 921
错误诊断流程:从消息格式→网络配置→代码逻辑的全链路排查方法。性能调优公式:最优心跳间隔 = 2 * RTT + 安全余量(建议500ms)架构设计原则弱网环境优先选择动态调整策略高并发场景需结合连接池监控建立心跳机制灰度发布流程,通过AB测试验证效果。集成Prometheus+Grafana监控系统,实追踪连接质量指标。制定心跳机制版本升级规范,确保客户端/服务器协议兼容性。通过系统性应用这些技术,可显著提升WebSocket服务的稳定性,支撑日均亿级消息量的实通信场景。
牛逼抓包工具 Socket通讯抓包
07-02
很好用的抓包工具 实现Socket客户端,服务端,转发器调用测试 很实用 Socket开发的最佳工具
golang中的websocket,使用wireshark抓包
猛犸象
05-15 2952
golang中的websocket,使用wireshark抓包
Windows下通过WireShark抓包WebSocket协议-WSS
u013771019的专栏
08-09 4277
我们在正常使用WireShark抓包WebSocket协议的候,如果只过滤wesocket,很可能只看到WebSocket的建立链接的过程,其他发送数据的过程可能看不到;由于我们这里是本地测试,用的是localhost,所有Wireshark的网卡选择【Adapter for loopback traffic】客户端发送WebSocket数据:可以在在下面的协议详情里面看到,客户端的数据现在是Unmasked的明文状态了。WebSocket协议是通过Http协议升级来的,可以支持长连接。
HTTP抓包&Websocket抓包(Fiddler)
wisdomroc的博客
03-26 933
是一款跨平台的网络调试工具,可用于检测、分析、记录和调试HTTP和HTTPS流量。它可用于Windows、Mac OS和Linux操作系统,提供了一个用户友好的界面和强大的功能,使开发人员和测试人员能够更轻松地解决网络问题,并加快应用程序的开发和测试速度。它支持多个协议和数据格式,包括HTML、XML、JSON、SOAP和REST等。近期常要和各个厂商的java云平台打交道:登录、上传、下载等,程序的日志虽必不可少,但前期调试阶段,免不了遇到问题,这有一个称手的抓包工具就显得尤为重要了。
WebSocket数据抓取
pursue_mony的博客
05-03 1458
这个脚本使⽤了 websocket-client 库创建了⼀个WebSocket客⼾端,连接到wss://echo.websocket.org 这个⽤于测试的WebSocket服务。抓取WebSocket连接中的实数据流涉及到与WebSocket服务器建⽴持久的连接,并实接收和处理通过该连接发送的数据。Python的 websocket 库可以⽤来实现与WebSocket服务器的连接和数据交互。运行脚本:运⾏上述脚本,它将连接到指定的WebSocket服务器,并实打印接收到的消息。
一次websocket抓包体验
weixin_33701251的博客
09-24 352
一个简单的demo 我们知道websocket一种服务端推送技术,首先Websocket是基于HTTP协议的,或者说借用了HTTP的协议来完成一部分握手。后续数据传递是基于TCP的。 客户端代码 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>websocke...
websocket抓包软件的使用
一只小鱼
10-29 1万+
写在前面 经实测fiddler只支持抓web版的websocket,Wireshark 支持web版的也支持像安快那样集成第三方dll(websocket-sharp.dll)的方式的websocket。 具体使用 下载软件 下载地址:https://www.wireshark.org/#download 安装 配置 1.0 选择要捕获的网卡(双击) 2.0过滤捕获的记录 3.0 配置输入输出(点击齿轮图标,如果不能点击就先点击红色的停止图标) 取消混杂模..
WebSocket研究笔记-抓包分析
zhouwb1984的博客
03-08 2482
WebSocket研究笔记-抓包分析随手记一个总图的分析展开websocket帧分析分析IP协议展开分析TCP 随手记 随手笔记,非正式文章,大概只有我能看懂自己的梦呓之言。 记录通过Wireshark抓包研究WebSocket协议的片段,客户端发送消息到服务器。 一个总图的分析 该图记录截取的是建立websocket连接后,客户端向服务器发送的第一条消息。 该websocket消息帧(报文)(frame)一共76个字节。 通过下方区域可以观察到76个字节的16进制数据。 展开websocket帧分析
移动端微信小程序抓包
03-29
<think>好的,我现在需要帮助用户了解如何对微信小程序进行抓包以调试或分析网络请求。首先,我得整理用户的问题,明确他们需要的是工具和方法,以及调试和分析网络请求的具体步骤。 根据用户提供的引用内容,我看到有提到Fiddler作为抓包工具,还有微信开发者工具的真机调试功能。这些应该是关键点。首先,我应该介绍常用的抓包工具,比如Fiddler和Charles,然后说明如何在微信开发者工具中使用Network面板进行抓包。此外,用户可能还需要知道如何在真机调试进行抓包,这可能涉及到代理设置和证书安装。 接下来,我需要考虑步骤的详细说明。例如,使用Fiddler需要设置代理,手机和电脑要在同一网络下,安装Fiddler的根证书,然后在微信小程序中操作以捕获请求。同,真机调试部分需要用户开启调试模式,并通过开发者工具的Network面板查看请求。另外,HTTPS请求的抓包可能需要额外的配置,比如解密HTTPS流量,这部分要提醒用户注意证书问题,避免出现安全警告或无法抓包的情况。 还要注意用户可能遇到的常见问题,比如抓不到包的情况,可能需要检查代理设置、证书是否安装正确,或者是否使用的是HTTPS但未配置解密。此外,微信小程序本身可能有安全限制,需要提醒用户遵循法律法规,不要用于非法用途。 最后,生成相关问题,确保覆盖用户可能进一步想知道的内容,比如HTTPS抓包配置、常见问题解决、与网页抓包的区别,以及如何结合抓包进行性能优化。这样用户可以得到全面的信息,并且有进一步探索的方向。</think>### 微信小程序抓包工具及方法详解 #### 一、常用抓包工具 1. **Fiddler** - 支持HTTP/HTTPS协议抓包,可分析请求头、响应内容、性能参数 - 提供断点调试、请求重放等高级功能[^2] - 配置方法: ```bash 1. 工具设置:Tools > Options > HTTPS 勾选"Decrypt HTTPS traffic" 2. 手机设置:连接与PC同一网络,配置代理为PC的IP:8888 3. 安装Fiddler根证书到移动设备 ``` 2. **Charles Proxy** - 可视化界面更友好,支持JSON格式自动美化 - 可模拟慢速网络环境测试性能 3. **Wireshark** - 适合底层协议分析,但学习曲线较陡峭 #### 二、微信开发者工具内置抓包 1. **本地调试模式** - 开发版小程序可直接使用开发者工具的 **Network面板** - 查看完整请求链路: $$请求间 = T_{DNS} + T_{TCP} + T_{SSL} + T_{传输}$$ - 支持过滤XHR/WebSocket请求类型 2. **真机调试模式**[^1] - 通过USB连接手机,选择"通过IP地址连接" - 在开发者工具控制台输入: ```javascript wx.request({ url: 'https://api.example.com', success: function(res) { console.log('响应数据:', res.data) } }) ``` - 抓包数据包含完整请求/响应头信息 #### 三、移动端抓包实战步骤 1. **Fiddler配置示例** ```python # 证书安装验证伪代码 if not has_valid_certificate(): install_root_certificate() else: start_capturing() ``` - 手机端访问 `http://<PC_IP>:8888` 下载证书 - 安卓需在设置-安全中手动启用证书 2. **小程序特殊处理** - 关闭证书验证(仅限调试): ```javascript wx.request({ url: 'https://example.com', enableHttp2: true, enableQuic: true, enableCache: true }) ``` - 使用测试环境域名白名单 #### 四、数据分析要点 1. **关键性能指标** - 首字节间(TTFB) - 资源加载瀑布图 - 重复请求检测 2. **安全注意事项** - 生产环境需恢复证书验证 - 敏感数据应进行加密传输 - 遵守微信小程序隐私政策
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值