使用Fiddler进行HTTP流量分析

“ Fiddler抓包工具使用。”

Fiddler作为一个PC端的HTTP/HTTPS协议分析工具，能够抓取PC上的流量，并且它对HTTP类数据的分析，要比Wireshark要简单，友好，它对数据的组织格式很好地提高了分析效率。

本文介绍如何在PC上使用Fiddler进行HTTP分析。

01

—

安装

Fiddler是一款免费软件，可以到其官网下载，地址是https://www.telerik.com/fiddler，也可以从我的网盘中下载，发送“fiddler”获取下载地址。

安装只需要一路Next即可。

02

—

抓包

我们从桌面、开始菜单或者其它任何位置，找到Fiddler启动项，点击，即可进入Fiddler界面。进入Fiddler后，会自动进行抓包。

如果需要停止抓包，则点击菜单File->Capture Traffic即可。再次点击则会继续抓包。如果在抓包状态，则菜单项前会有个勾。

03

—

常用分析界面

在Fiddler界面左侧，是会话session信息，描述了每个会话的基本信息，包括协议，Host，URL，Body，Content-Type，Result，进程等信息。

点击每个会话，会进入到具体的会话内。

在Fiddler界面右侧，则包含9个子页面，每个页面功能不同，对协议分析而言，常用的页面为Statistics页面和Inspectors页面，掌握这两个页面的使用，就能适应大多数应用场景。

在Statistics页面，展示了会话的基本统计信息，包括收发字节数和各项性能数据。

而Inspectors页面，则展示了会话的详细信息，以及各种不同的展示方法，上部对应请求数据，下部对应响应数据。

经常使用的几项内容含义如下：

Headers：分别为请求和响应的HTTP头部信息。

TextView：分别为请求和响应的HTTP数据体部分信息，当请求为POST时，则存在数据体。

WebForms：格式化的请求数据，包括HTTP头部及内容体。

HexView：整个请求和响应的16进制展示。

Cookies：请求和响应中的Cookies信息。

04

—

解压

当一个会话的响应部分被压缩编码或需要解chunked，Fiddler并不会主动进行解码操作，则需要点击提示“Response body is encoded. Click to decode.“进行解压操作。点击后，在响应部分的TextView中会显示解压后的数据。

05

—

解HTTPS

对HTTPS会话，Fiddler默认并不会进行解密，而只会显示SSL相关信息，并给出提示。

如果需要解密HTTPS，则需要点击上图类似黄色的提示进入设置界面：

勾选”Decode HTTPS traffic“，为PC导入证书。在之后的抓包中，所有经过Fiddler的HTTPS流量都会被解密。

06

—

查找关键字

在协议分析过程中，经常要用到使用关键字进行会话及位置的查找。Fiddler内，可以对所有抓到的会话进行查找，Ctrl+f即可调出界面：

输入关键字，选择查找位置，以及设定查找细节，即可查找到符合要求的会话。含关键字的会话默认会以黄色高亮显示。

Fiddler的会话内，在TextView等项内，也可以进行会话内的查找。

这个查找类似与一般文本工具的查找功能。

对Fiddler的使用暂时先介绍到这里，应该能满足大部分协议分析的需要，后续会对更深入的功能进行介绍。如果有需要，请随时关注本公众号。

长按进行关注。