分析流量包主要使用wireshark,今天在看视频时候发现另一个看着也好棒的工具,networkminer,也要学习一下
wireshark的基本使用
通过查找功能搜索关键字
直接ctrl+F弹出搜索框查询
wireshark过滤规则
基本比较
等于:==
不等于:!=
And: &&
Or: ||
包含:contains(如http contains “flag”)
匹配:matches
如果记不得的话可以使用“查找表达式”来搜索
过滤ip,如来源ip或目标ip等于某个地址
来源ip:ip.src == xxxx
目的ip:ip.dst
所有ip:ip.addr
过滤端口
协议名.port(tcp/udp.port == 80)