【网络安全常用工具】Wireshark抓包工具使用技巧,从入门到精通!Wires
2023-02-22 18:14 作者:Shinkai005 | 我要投稿
Wireshark抓包以及常用协议分析
wireshark简介和抓包原理以及过程
实战wireshark抓包以及快速定位数据包的技巧
实战wireshark对常用协议抓包并分析原理
实战wireshark抓包解决服务器被黑上不了网
wireshark简介和抓包原理以及过程
wireshark是一个网络封包分析软件.wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换.
快速分析数据包技巧
- 确定wireshark的物理位置. 防止很多的无效数据包
- 选择捕获接口. 一般都是Internet网络接口.
- 设置过滤器. 一方面是只捕获特定数据, 排除干扰; 另一方面是节省时间.
- 显示过滤器. 使用过滤器过滤的数据依旧很复杂,显示过滤后的结果可以更清晰.
- 巧用着色规则.
- 构建图标
- 数据重组. 较大的文件和图片可以通过这个重组成一个文件和图片
实战wireshark抓包以及快速定位数据包的技巧
首先要了解下常用协议的内容.
mac下ipconfig生成很多缩写, 通过networksetup -listallhardwareports 可以显示每个缩写的意思.
eth0 Link encap:Ethernet HWaddr 00:0C:29:F3:3B:F2 inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:78 errors:0 dropped:0 overruns:0 frame:0 TX packets:104 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:11679 (11.4 Kb) TX bytes:14077 (13.7 Kb) Interrupt:10 Base address:0x1080 1行:连接类型:Ethernet(以太网)HWaddr(硬件mac地址) 第二行:网卡的IP地址、子网、掩码 第三行:UP(代表网卡开启状态)RUNNING(代表网卡的网线被接上)MULTICAST(支持组播)MTU:1500(***传输单元):1500字节 第四、五行:接收、发送数据包情况统计 第七行:接收、发送数据字节数统计信息。
混杂模式和普通模式
- 混杂模式就是接受所有经过本机的包.
- 普通模式只接受发给本机的包(包括广播包)传递给上层程序, 其他的包一律丢弃
打开和关闭方法
菜单栏->捕获->捕获选项里
我介使用过滤器输入“udp〞以筛选出 udp 报文。但是为什么输入udp之后出现那多种协议呢?
原因就是 oicq 以及 dns都是基于 udp 的传输层之上的协议
nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。
ARP
ICMP
工作过程:本机发送一个 ICMP Echo Request 的包接受方返回一个 ICMP Echo Repiy,包含了接受到数据拷贝和一些其他指令~
数据拷贝意思是, 发过去是什么样子的传回来也是什么样的~
个人理解是因为ICMP是因为IP无法正常传输时候作为一个情报员~ 所以方便重传的
TCP
流量图
四次挥手
爷不给你发信息了! 行我知道了~ 我也不给你发了~ 行~
- fin标记位占1位
HTTP
- TCP三次握手后, 建立HTTP请求
- 接受正常 ok 200
- 三次挥手HTTP结束
