Fiddler - модификации пакетов ответов не отображаются в Wireshark?

Question

Я недавно использовал Fiddler для модификации некоторых пакетов ответов, добавив некоторый код в OnPeekAtResponseHeaders в CustomRules.js. Я заметил, что измененные ответы - это, видимые в fiddler - но когда я пытаюсь зафиксировать те же самые следы в wirehark, ответы, которые я вижу, не изменены. Я предполагаю, что это происходит потому, что wirehark каким-то образом просматривает ответы, прежде чем скрипач может их модифицировать.

Есть ли способ просмотреть измененные пакеты ответов в Wireshark? Для меня важно видеть их в wirehark, чтобы я мог сохранить их в формате pcap.

Answer 1

Чтобы просмотреть измененные пакеты ответов в Wireshark, вам необходимо будет фактически зафиксировать измененные пакеты ответов, а это означает, что захват на другой машине использует что-то вроде порта SPAN, TAP или даже концентратора, чтобы вы могли получить доступ к эти пакеты с другой машины. Кроме того, вы можете захватить пакеты на хосте, получающем эти ответы, если у вас есть доступ к нему и достаточные права доступа для захвата.

Если вы используете другую машину для захвата, то вы можете захотеть взглянуть на «Ethernet capture setup» вики-странице Wireshark для некоторых указаний (предполагая, что вы захват на Ethernet конечно, в противном случае обратитесь к разделу «See Also» страницы для других настроек захвата.)

Что касается захвата на той же машине, что и измененные ответы, вы можете прочитать хорошо написанный блог «The drawbacks of local packet captures» Джаспера Бонгерца от нескольких лет назад.