WireShark过滤解析HTTP/TCP

最新推荐文章于 2024-04-18 16:56:41 发布
最新推荐文章于 2024-04-18 16:56:41 发布
阅读量217 收藏
点赞数
文章标签: 网络 运维
原文链接:http://www.cnblogs.com/kxdblog/p/4203924.html
版权

 

过滤器的使用:

  可利用“&&”(表示“与”)和“||”(表示“或”)来组合使用多个限制规则,

比如“(http && ip.dst == 64.233.189.104) || dns”和ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

如果需要将某次捕获记录保存下来方便以后再分析的话则可保存为记录文件,有时候我们只想将经过过滤的记录保存下来,只要选中“Displayed”即可

 

技巧:File–Export Objects–HTTP 选择需要导出的包,然后点击save As按钮,用于查看后台上传和下载的文件:wireshark导出http下载或post上传的文件

 

HTTP分析

  TCP协议规定HTTP进程的服务器端口号为80,通常,由HTTP客户端发起一个请求,建立一个到服务器指定端口(默认是80端口)的TCP连接。(注意这里指的是服务器开发的端口80)HTTP服务器则在那个端口监听客户端发送过来的请求。

http——Packet Counter      http总的统计

http.request.method == "GET" http GET请求
http.response==1  http所有的响应包 
http.response==1 && http.response.code==200 响应请求成功的包
http.response==1 && http.response.code==201 201 created 提示知道新文件的URL,成功请求并创建了新的资源
http.response==1 && http.response.code==304 客户端已经缓存,不带响应体
http.response==1 && http.response.code==302 客户端继续使用原有URI

http.request==1 //过滤所有的http请求,貌似也可以使用http.reques
http.request.method == "GET"
http.request.method == "POST"
http.request.uri == "/img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1."
// GET包
http.request.method == "GET" && http contains "Host: "
http.request.method == "GET" && http contains "User-Agent: "
// POST包
http.request.method == "POST" && http contains "Host: "
http.request.method == "POST" && http contains "User-Agent: "
// 响应包
http contains "HTTP/1.1 200 OK" && http contains "Content-Type: "
http contains "HTTP/1.0 200 OK" && http contains "Content-Type: "
一定包含如下
Content-Type:

http.host==magentonotes.com 或者http.host contains magentonotes.com //过滤经过指定域名的http数据包,这里的host值不一定是请求中的域名
http.request.method==POST过滤所有请求方式为POST的http请求包,注意POST为大写

http.cookie contains guid //过滤含有指定cookie的http数据包
http.request.full_uri==” http://task.browser.360.cn/online/setpoint” //过滤含域名的整个url则需要使用http.request.full_uri
http.content_type == “text/html” //过滤content_type是text/html的http响应、post包,即根据文件类型过滤http数据包
http.server //过滤所有含有http头中含有server字段的数据包
http.request.version == "HTTP/1.1" //过滤HTTP/1.1版本的http包,包括请求和响应

  

 参考这里  十六进制截取 

TCP完整分析:

  在连个连接建立的时候,SYN包里面会把彼此TCP最大的报文段长度,在局域网内一般都是1460.如果发送的包比最大的报文段长度长的话就要分片了,
被分片出来的包,就会被标记了“TCP segment of a reassembled PDU”,可以参考下图,看一下,被标记了的包的SEQ和ACK都和原来的包一致。

捕捉断开连接的数据包
tcp.window_size == 0 && tcp.flags.reset != 1

TCP三次握手:创建TCP连接
1、A端SYN=1,ACK=0 SequenceNumber=XXX
2、B端SYN=1,ACK=1 SequenceNumber=YYY Acknowledgement=XXX+1
3、A端SYN=0,ACK=1 SequenceNumber=XXX+1 Acknowledgement=YYY+1 这个TCP负载中已经可以包含业务数据了。

TCP链接撤销:
1、A端FIN=1,ACK=1 SequenceNumber=XXX Acknowledgement=YYY
2、B端FIN=1,ACK=1 SequenceNumber=YYY Acknowledgement=XXX+1
3、A端FIN=0,ACK=1 SequenceNumber=XXX+1 Acknowledgement=YYY+1

这里是Github作为Client主动发起关闭连接的请求,这里的FIN=FINish

Github 发Fin(x=6831)包; ——FIN(X)
本机收到上面的包后,做出ACK(x+1=6832)响应,跟Github说我收到了~,你别再发了; ——ACK(X+1)
你要关了,那我也准备关吧~ 于是发Fin(y=1054)包,你准备好了么?; ——FIN(Y)
Github准备好了,给出响应ACK(y+1=1055),告诉本机准备好了; ——ACK(Y+1)

 

TCP完整分析:

第一次握手 102
tcp.flags.syn == 1 and tcp.flags.ack == 0
第二次握手 103 重传一次 403
tcp.flags.syn == 1 and tcp.flags.ack == 1

第三次握手 ACK=1 seq=1 109-4
tcp.flags.ack == 1
&& tcp.seq==1&&tcp.ack==1&&!tcp.flags.fin==1&&!http&&tcp.len==0
不能只抓取第三次握手的数据包。

客户端发起关闭请求 104
tcp.flags.fin==1 && tcp.flags.ack==1&&ip.src==102.168.0.120
服务器响应关闭连接 94
tcp.flags.fin==1 && tcp.flags.ack==1&&ip.src!=102.168.0.120
TCP传输数据量:
!http&&!(tcp.flags.syn == 1 and tcp.flags.ack == 0)&&!(tcp.flags.syn == 1 and tcp.flags.ack == 1)&&!(tcp.flags.fin==1 && tcp.flags.ack==1)&&!(tcp.flags.ack == 1&& tcp.seq==1&&tcp.ack==1&&!tcp.flags.fin==1&&!http&&tcp.len==0)
http 第一次握手 第二次握手 第1、3次挥手 第三次握手

  

转载于:https://www.cnblogs.com/kxdblog/p/4203924.html

diaomu5377
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解析抓包软件中tcp包装的数据并转换为txt文本
12-16
关键词:Wireshark、ethereal、WinPcap、TCP网络、抓包、免费软件 modubs、101,104,103, 功能: 处理抓包软件抓包保存的文件,过滤并仅取出tcp包装的数据,保存到txt文件中 使用网络抓包软件,抓包后,保存文件...
WireShark界面介绍、过滤器设置、TCP三次握手四次挥手演示、抓包
zz2230633069的博客
02-10 3006
WireShark界面介绍、过滤器设置、TCP三次握手四次挥手演示、抓包。
wireshark 如何去除重复的包_wireshark过滤重复、TCP重传、HTTP握手数据包
weixin_39820588的博客
02-05 7054
1、过滤http握手的空报文使用wireshark打开pcap包,通过条件过滤数据长度为0的包,命令如下:tcp.len > 02、过滤重复数据包使用cmd命令窗口,进入wireshark安装目录,找到editcap.exe程序。执行editcap.exe -d命令,指定源文件(d:\input.pcap)和目标文件(d:\output.pcap),命令如下:C:\Program Files...
Wireshark常用过滤使用方法
weixin_30437481的博客
02-20 306
过滤源ip、目的ip。 在wireshark过滤规则框Filter中输入过滤条件。如查找目的地址为192.168.101.8的包,ip.dst==192.168.101.8;查找源地址为ip.src==1.1.1.1 端口过滤。 如过滤80端口,在Filter中输入,tcp.port==80,这条规则是把源端口和目的端口为80的都过滤出来。使用tcp.dstport==80只过滤目的...
icmp基于tcp还是udp_基于wireshark报文分析快速过滤(tcp,icmp,http)报文时延
weixin_39542850的博客
11-24 467
虚拟网络运维––基于wireshark报文分析快速过滤(tcp,icmp,http)报文时延前言在网络运维中,在报文分析时,时延类问题是比较常见的问题场景,如何快速定位到高时延的报文就会比较有用;这里简单介绍一下基于wireshark快速过滤tcphttp、icmp协议报文的高时延报文;文章原创输出,请认准作者[[海渊_haiyuan]],感谢;tcp协议高时延报文定位在过滤tcp协议报文的高时...
Wireshark 抓包过滤器使用及TCP三次握手深层分析
崔同学的博客
07-21 4068
Wireshark 抓包过滤器使用及TCP三次握手深层分析 前言 笔者上一篇写过 Docker 的博客 logo 就是一条小鲨鱼,没想到这次想要更的内容,碰巧也是和鲨鱼有关,当然只有 logo 有关了,哈,看来和 shark 有不解之缘。 一、Wireshark介绍与安装 Wireshark 是非常流行、功能强大的网络数据包分析软件,并且开源免费。可在 Wireshark官网下载对应系统版本的软件,笔者本文使用 V3.2.5 Windows 64-bit。它用于软件开发、软件测试等工作中debug十分方
wireshark常用协议过滤
weixin_56306210的博客
07-12 1万+
wireshark常用协议过滤
图解用Wireshark进行Http协议分析
热门推荐
bcbobo21cn的专栏
03-23 3万+
一 安装WireShark 安装完成后,运行,如果出现NPF未运行的提示,如下图;说明可能是装的时候WinPcap未装上;一般安装Wireshark会同时自动安装Winpcap; 如果装了Winpcap,在C:\Windows\System32\drivers下,会出现npf.sys;另外系统带有npfs.sys,不是一个东西; 如果是npf服务未运行,在命...
wireshark抓包分析HTTP协议,HTTP协议执行流程,
wangyuxiang946的博客
10-10 2万+
使用WireShark工具抓取HTTP协议的数据包,分析HTTP协议执行流程,分析HTTP请求响应报文中各个字段的作用。
WireShark如何抓包,各种协议(HTTP、ARP、ICMP)的过滤或分析,用WireShark实现TCP三次握手和四次挥手
宝藏女孩的成长日记
03-09 1万+
wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。常用来检测网络问题、攻击溯源、或者分析底层通信机制。
wireshark过滤http
Brasy的博客
12-16 1万+
Wireshark filter: Protocol = “HTTP” 显示过滤http数据包 List item 利用wireshark 工具内置的filter 直接点击"Filter", 打开"display Filter"对话框,选择"HTTP",然后点击"Expression",使用工具已经识别到的那些过滤条件表达式。 2. http 关键词过滤 只访问某指定域名:http.host==“域名” 访问包含了指定字符串的 : http.[host] contains “内容” 只显示Refer
java实现FTP协议:wireshark抓包解析
01-06
然后打开wireshark,在过滤条件中输入tcp.port==2100,接着开始监听,如此就能抓取相应ftp数据包。接着我从手机上使用ftp客户端连接到服务器,同时使用设置好的用户名密码登陆,在wireshark上抓包结果如下: 注意到...
wireshark源码
06-10
之后的模块变量"TCP_PORT_RDP"则包含了协议使用的TCP端口号,我们会对通过该端口的数据流进行解析。 solaris10下proc编译问题 >紧随其后的是解析器句柄"rdp_handle",我们稍后对它进行初始化。 至此我们已经拥有了...
wireshark使用详细教程.pdf
03-28
它支持多种网络协议,如TCP/IP、HTTP、DNS等,通过解析这些协议,Wireshark能够将数据以易于理解的形式展示给用户,从而帮助用户深入了解网络通信过程。 Wireshark的主要功能包括: 捕获网络数据包:Wireshark使用...
WireShark3.4.4 安装包 windows版本
11-14
它支持大量的网络协议,包括TCP/IP、HTTP、FTP、SMTP、VoIP等,可以实时截取网络数据包,并以图形化方式展示数据包的层次结构、协议类型、数据内容等。 Wireshark还具有强大的过滤功能,可以根据协议、端口号、IP...
Linux 网络排查命令
学习记录
04-14 498
学习记录
网络安全之反弹Shell
小飞的博客
04-12 959
网络安全和渗透测试领域,“正向Shell”(Forward Shell)和"反向Shell"(Reverse Shell)是两种常用的技术手段,用于建立远程访问目标计算机的会话。这两种技术都可以让攻击者在成功渗透目标系统后执行命令,但它们在建立连接的方式上有所不同。
网络篇07 | 应用层 其他协议
qiushily2030的博客
04-14 1089
这一篇只说明一个问题,应用层的协议五花八门,都是各个领域自己造轮子,贴合他们的使用习惯捣鼓出来的,这就和好几家大企业相互争抢市场资源一样,也和各种语言争抢市场份额一样。(PHP是全世界最牛的语言)
网络安全威胁激增,数据使用需更加谨慎
最新发布
Dexun_chuqi的博客
04-18 634
网络犯罪分子是指那些故意从事网络恶意活动的个人或团体。通过黑客攻击、网络钓鱼等手段意图破坏我们的系统、网络或数据。他们的动机多样,包括经济利益、政治意识形态、怨恨、复仇等等。近年来,网络安全威胁呈现爆炸式增长。将网络钓鱼、利用公开应用和利用远程服务列为三种最常见的攻击或威胁手段。在这些安全威胁所带来的后果中,五个最严重的分别是敲诈勒索、数据盗窃、凭证窃取、数据泄露和品牌声誉受损,超过40%的影响与数据直接相关。但正如该报告中所述,网络犯罪的数量和恶意破坏者的规模是根据不完善的数据估算的。
wireshark中抓取不到TCP
01-13
您可以使用过滤器表达式"tcp"来过滤TCP数据包。 4. 单击“开始”按钮开始抓取数据包。 5. Wireshark将开始捕获网络流量,并显示捕获到的TCP数据包。 请注意,Wireshark只能捕获到经过网络接口的数据包,而无法解密...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值