Wireshark是一款强大的网络封包分析工具,用于网络安全检测。它能过滤和查看不同层(如数据链路层、网络层、传输层和应用层)的数据包,支持多种协议过滤,并提供丰富的匹配符号和内容过滤功能。例如,可以过滤特定的MAC地址、IP地址、端口和数据包长度,以及TCP和UDP协议的特定字段。此外,Wireshark还支持HTTP、SMTP等应用层协议的过滤和内容匹配。
文章目录
一、Wireshark可以实现什么作用(目的因)?
二、Wireshark是什么(形式因)?
三、Wireshark命令主要有哪些组成(质料因)?
(一)、比较符号:
| 比较符号 | 符号 | 字母 |
|---|---|---|
| 小于 | < | lt |
| 小于等于 | <= | le |
| 等于 | == | eq |
| 不等于 | != | ne |
| 大于 | > | gt |
| 大于等于 | >= | ge |
(二)、包含/匹配符号:
| 包含/匹配符号 | 符号 |
|---|---|
| 包含 | contains |
| 匹配 | matches |
(三)、逻辑符号
| 逻辑符号 | 符号 |
|---|---|
| 并 | and |
| 或 | or |
四、Wireshark如何使用(方法论)?
(一)、数据链路层过滤:
-
过滤目标Mac地址:
eth.dst 比较符号 mac地址(例:eth.dst == A0:00:00:04:C5:84 ) -
过滤来源Mac地址:
eth.src 比较符号 Mac地址(例:eth.src == A0:00:00:04:C5:84 ) -
过滤来源MAC或目标MAC地址:
eth.addr 比较符号 mac地址(例:eth.addr == A0:00:00:04:C5:84 ) -
地址解析协议:ARP(例:arp)
-
逆地址解析协议:RARP(例:rarp)
(二)、网络层过滤:
-
过滤目标ip地址:
ip.dst 比较符号 ip地址(例:ip.dst == 192.168.80.23 ) -
过滤来源ip地址:
ip.src 比较符号 ip地址(例:ip.src == 192.168.80.23 ) -
过滤来源ip或目标ip地址:
ip.addr 比较符号 ip地址(例:ip.addr == 192.168.80.23 ) -
Internet 控制报文协议:ICMP(例:icmp)
-
Internet 组管理协议:IGMP(例:igmp)
(三)、传输层或者应用层等协议过滤:
1、传输层:
-
传输控制协议:TCP(例:tcp)
-
用户数据报协议:UDP(例:udp)
2、应用层:
-
超文本传送协议:HTTP(例:http)
-
简单邮件传送协议:SMTP(例:smtp)
-
文件传送协议:FTP(例:ftp)
-
简单文件传送协议:TFTP(例:tftp)
-
网络新闻传送协议:NNTP(例:nntp)
-
域名系统:DNS(例:dns)
-
安全套接层协议:SSL(例:ssl)
-
安全传输层协议:TLS(例:tls)
最低0.47元/天 解锁文章
扫一扫
1730
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
