一、基本使用
使用WireShark抓icmp包,用ping指令ping www.baidu.com,获得其服务器ip地址后,使用抓包过滤器找到特定的icmp包。
抓包结果如图
使用WireShark查看tcp三次握手
抓包结果如图
二、WireShark 过滤器
1.ip地址过滤
ip.src ==x.x.x.x ip.dst == x.x.x.x ip,addr == x.x.x.x
2.端口过滤
tcp.port == 80 tcp.dstport == 80 tcp.srcport == 80
3.协议过滤
tcp/udp/arp/icmp/http/ftp/dns/ip
4.http模式过滤
htttp.request.method == "GET"
htttp.request.uri == "/img/logo-edu.gif"
http contains "GET"
http contains "flag"
三、WireShark 流汇聚
右键http包或者tcp包—追踪流—http stream/tcp stream,可以将tcp/http数据包汇聚或还原成数据并且查看数据内容
常见的HTTP流关键信息:
1.HTML中包含关键信息。
2.上传或者下载文件内容,包含文件名、hash值等关键信息,常用POST请求上传。
3.一句话木马,POST请求,内容包含eval,内容使用base64加密。
扫一扫
1675
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
