前言
协议
TCP/IP协议簇
- 网络接口层(没有特定的协议) PPPOE
- 物理层
- 数据链路层
- 网络层:IP(v4/v6) ARP(地址解析协议) RARP ICMP(Internet控制报文协议) IGMP
- 传输层:TCP(传输控制协议) UDP(用户数据报协议)
- 应用层:都是基于传输层协议的端口,总共端口0-65535 0-1023 HTTP—TCP80 HTTPS—TCP443
- DHCP
- DNS
- HTTP
- HTTPS
- FTP
- SMTP
- POP3
- IMAP
流量抓取工具(wireshark)
一、网卡
wireshark是对主机网卡上的数据流量进行抓取
1、网卡模式
- 混杂模式:不管目的是否是自己,都接收
- 非混杂模式:默认情况下,主机的网卡处于此模式,不会接收目的非自己的数据
2、界面认识
3、两种捕获器
- 捕获过滤器:在抓包之前先进行过滤(只抓某种类型的包或者不抓某些类型的包)
- 显示过滤器:抓包前或抓包后都可以进行过滤,但是不会影响抓取的包(会抓取所有的包,只不过查看的时候只显示某些包)
4、过滤器
- 捕获过滤器
- 语法
- 类型:host net port
- 方向:src dst
- 协议:ether ip tcp udp http ftp…
- 逻辑运算符:&&与 ||或 !非
- 举例
- 抓取源IP为192.168.18.14并且目标端口为80的报文
src host 192.168.18.14 && dst port 80
- 抓取IP为192.168.18.14或者192.168.18.1
host 192.168.18.14 || host 192.168.18.1
- 不抓取广播包
! broadcast
- 抓取源IP为192.168.18.14并且目标端口为80的报文
- 语法
- 显示过滤器
- 语法
- 比较操作符:==(eq) !=(neq) >大于(gt) <小于(lt) >=大于等于(ge) <=小于等于(le)
- 逻辑运算符:and(&&)与 or(||) not
- IP地址过滤:ip.addr ip.src ip.dst
- 端口过滤:tcp.port udp.port tcp.dstport tcp.flag.syn tcp.flag.ack
- 协议过滤:arp ip icmp udp tcp http
- 举例
- 显示源IP等于192.168.18.14并且tcp端口为443
ip.src == 192.168.18.14 and tcp.port == 443
- 显示源不为192.168.18.14或者目的不为202.98.96.68的
ip.src!=192.168.18.14 or ip.dst!=202.98.96.68
- 显示源IP等于192.168.18.14并且tcp端口为443
- 语法