Wireshark学习笔记

最新推荐文章于 2024-07-15 14:10:53 发布
最新推荐文章于 2024-07-15 14:10:53 发布
阅读量202 收藏
点赞数
分类专栏: SDN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39987002/article/details/83859515
版权

文章目录

Wireshark抓包原理

  1. 本机环境
    直接在自己的网卡抓包
  2. 集线器环境
    集线器下所有的流量都会被传递到所有的设备
  3. 交换机环境
    交换机下的流量会根据MAC表进行转发,非路径上的设备不能得到流量
    1. 端口镜像(SPAN),公司常用方法,来获得其他的流量
    2. APR欺骗
    3. MAC泛洪: 通过发送大量的MAC垃圾信息来flush掉交换机里的路由表,从而对于其他设备发来的消息,交换机不知道该如何行动,然后把这些消息泛洪给了所有设备

利用winpcap底层驱动,capture引擎就可以抓取,得到了0101010通过wiretap对其解读,递交给core(核心引擎),联动各个引擎. 再往上递交给GTK图形化处理界面

过滤器语法

BPF语法

  1. 类型
    host /net /port
  2. 方向
    src /dst
  3. 协议
    ether /ip /tcp /udp /http / ftp
  4. 逻辑运算符
    ! && ||

举例

src host 192.168.1.1 && dst port 80
源地址192.168.1.1 目的地址是80端口的包

host 192.168.1.1 ||host 192.168.1.2

!broadcast

不要抓广播包

ether host 00:8D:60:AA:22

要这个MAC的包

显示过滤器

  1. 比较操作符
    == != > <

  2. 逻辑操作符
    and or xor有且仅有一个条件被满足 not

  3. ip地址
    ip.addr ip.src ip.dst

  4. 端口过滤
    tcp.port tcp.srcport tcp.dstport tcp.flag.syn tcp.flag.ack

  5. 具体协议
    DNS bootp tcp

演示

ip.addr==192.168.1.1
ip.src==192.168.1.100 and ip.dst==25.200.133.60
tcp=port==80
arp
tcp
not http
ip.src==192.168.1.1 and tcp.dstport==80

雨勒钟
关注
专栏目录
Wireshark学习笔记(一)
weixin_44127750的博客
09-03 523
目录wireshark抓包原理网络原理底层原理 wireshark抓包原理 网络原理 哪些网络环境下可以抓到包?抓包方式? 本机环境——直接抓本机网卡进出的流量包 集线器环境——在同一冲突域中通过流量防洪的方式抓取所有主机的流量 交换机环境 通过端口镜像抓取各主机之间的流量包 通过ARP欺骗更改mac地址表,使流量流向错误的地址 通过mac泛洪方式发出多个mac地址 底层原理 wireshark抓包内部逻辑是什么? wireshark组成成分 GTK-1/2:图
Wireshark学习笔记 - 软件使用调试 - Wireshark进阶调试(中)
Enderman_xiaohei的博客
05-03 816
Wireshark 目录 1.软件使用调试 1.2. Wireshark进阶调试 1.2.1 显示界面设置 1.2.2 数据包操作 1.2.3 首选项设置 1.2.4 抓包选项设置         1.2.4.1 输入【Input】         1.2.4.2 输出【Output】     &...
wireshark 使用教程 —— 基础入门、进阶、实战
最新发布
u013669912的博客
07-15 1108
wireshark 学习笔记-1
weixin_40328085的博客
11-21 172
1、wireshark 是个什么样的软件 免费,广泛使用,跨平台。 2、怎么去用wireshark     端口镜像          首选     集线器输出        碰撞性大     网络分流器        需要额外设备     ARP缓存          有点不安全     直接安装          有点占资源。 3、捕获文件     Pcap     合并捕...
wireshark学习笔记(三)
lengye7的博客
05-02 345
Wireshark学习笔记(三)     抓包过滤器 过滤规则               过滤IP: 指定来源IP或者目标IP等于某个IP: 例:ip.src 192.168.1.107 or ip.dst 202.102.192.68 或者模糊书写:ip.host 202.102.192.68将能捕捉到源和目的等于该IP的会话; src host 1
Wireshark抓包学习笔记
Beatr1ce的博客
07-24 1310
学习来自:https://www.cnblogs.com/linyfeng/p/9496126.html 1Wireshark软件安装 软件下载路径:wireshark官网。按照系统版本选择下载,下载完成后,按照软件提示一路Next安装。 说明:如果你是Win10系统,安装完成后,选择抓包但是不显示网卡,下载win10pcap兼容性安装包。下载路径:win10pcap兼容性安装包 2 Win10Pcap的使用方法 http://www.win10pcap.org/howto/ ...
Wireshark学习笔记 - 软件使用调试 - Wireshark安装入门
Enderman_xiaohei的博客
05-01 804
Wireshark 目录 1.软件使用调试 1.1. Wireshark 安装入门 1.1.1软件介绍 1.1.2抓包原理 1.1.3 初始安装 1.1.4初始抓包 1.1.5 界面介绍 1.1.1 软件介绍 ↶ Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为...
Wireshark学习
asufeiya的博客
07-18 509
https://edu.51cto.com/partner/view/id-15.html https://edu.51cto.com/course/3721.html?source=so 参考视频 Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络管理员使用Wireshark来检测网络问题,网络安全工程...
wireshake使用入门学习笔记(过滤信息+三次握手四次挥手分析)
qq_44728587的博客
03-01 3135
使用步骤分析 1.进入页面选择网卡,一般我选择的是无线网卡WLAN,双击进入抓包页面。 2. 进入页面就会看到七七八八花花绿绿的捕获的信息,而且跳的特别快。 可以点击红色这个按钮停止抓包,蓝色的是开始抓包 在编辑-着色规则中可以看到不同的颜色代表什么协议: 因为跳的特别快,我们不容易看到自己需要的内容,所以需要使用过滤来得到我们想要的内容。 ...
Wireshark使用方法(学习笔记一)
genefhang的专栏
06-06 1357
Wireshark(前称Ethereal)是一款功能强大的网络抓包分析工具,在我的工作中是不可或缺的一部分工具,往往在网络出现异常时,查看网络中的数据包,会豁然开朗。 1.菜单栏 主菜单包括以下几个项目: File ——包括打开、合并捕捉文件,save/保存,Print/打印,Export/导出捕捉文件的全部或部分。以及退出Wireshark项. File菜单介
WireShark学习笔记总目录
memcpy0的博客
08-25 284
文章目录如何阅读本书1. 走进Wireshark2. 过滤无用的数据包3. 捕获文件的打开与保存4. 虚拟网络环境的构建5. 各种常见的网络设备6. Wireshark的部署方式7. 找到网络发送延迟的位置8. 分析不能上网的原因9. 来自链路层的攻击——失常的交换机10. 来自网络层的欺骗——中间人攻击11. 来自网络层的攻击——泪滴攻击12. 来自传输层的洪水攻击(1)——SYNFlooding13. 网络在传输什么——数据流功能14. 来自传输层的洪水攻击(2)——UDPFlooding15. 来自应
wireshark:入门
OceanStar的博客
10-21 543
1、打开wireshark 3.2.7,主界面如下: 双击任何一个有波动的网卡就可以开始捕获数据了。 这里我双击了“以太网” 我们也可以设置过滤器。比如下面我设置了只捕获http的接口 https://author.baidu.com/home?from=bjh_article&app_id=1631499459011293 ...
wireshark过滤规则
热门推荐
flynetcn的专栏
01-28 1万+
  一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:   (1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。    表达式为:ip.src ==192.168.0.1   (2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包。    表达式为:ip.dst ==192.168.0.1   (3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目的地址的ip地址是1...
Wireshark
mg1123的博客
11-04 1328
通过比对某节点进出两侧的抓包的IP报文中经节点转发后保持不变的identification字段,或者利用TCP通信的SEQ及ACK序列号分析节点或链路丢包情况,可分析判断转发报文的设备(路由。有时候我们需要导出多个数据包,Wireshark有一个导出标记的数据包的功能,我们将需要导出的数据包都标记起来,就可以同时导出多个数据包。局域网的所有流量都会发送给我们的电脑,默认情况下,我们的电脑只会对自己mac的流量进行。数据包列表是最常用的模块之一,列表中有一些默认显示的列,我们可以添加、删除、修改显示。
Wireshark 网络分析就这么简单》学习笔记
wylewylie的博客
05-16 1万+
第一章部分内容一、抓包 只抓包头。一般能抓到的每个包(称为“帧”更准确)的最大长度为1514字节,启用了Jumbo Frame(巨型帧)之后可达9000字节以上,而大多数时候我们只需要IP头或者TCP头就足够分析了。然而在Wireshark上可以这样抓包头:单击菜单栏上的Capture–>Options,然后在弹出的窗口上定义“Limit each packet to”的值。我一般设置80字节。这样
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值