本文章仅供参考学习使用,不做任何违法行为!!!
一.Wirshark和Tcpdump介绍和使用
- wirshark工具?是一个开源的追踪网络数据包的工具
- Wirshark主要窗口以及功能
- 标题栏
- 菜单栏
- 工具栏
- 显示过滤区域
- Packet List 面板
- Packet Details 面板
- Packet Bytes 面板
- 状态栏
- wirshark报文结构
-
帧 数据链路层
包 网络层/IP层
段 传输层
- Wirshark常见的过滤规则
-
Ip ip.addr==IP 过滤IP地址来获取数据包
源IP ip.src==IP ip.src eq IP 过滤源ip地址获取数据包
目标ip ip.dst==IP ip.dst eq IP 过滤目标ip地址获取数据包
端口 tcp.dstport==80 udp.port==53 tcp.srcport> 1024
过滤Tcp的源端口80,udp的端口53以及tcp的源端口大于1024,获取数据包
协议: tcp udp arp icmp http smtp ftp dns ip ssl
HTTP: http.request.method=get http.request.method=post
http contains “HTTP/1.1 200 OK” http contains “admin”
过滤关键字是admin或者是http请求的方式是get或者是post等
- Wirshark使用
- 监听的端口:
- Packet detail面板的OSI七层模型
- Packet detail面板的OSI七层模型
3.TCP传输层数据的分析:
网络层的数据分析:
加密的数据
dns网络层的分析:
通过过滤地址来进行查看
(1)ip.src==10.40.165.65
(2)Ip.dst==114.114.114.114
(3)指定抓取指定的ip地
ip.host==10.40.165.65/ip.addr==10.40.165.654
(4)过滤源ip地址和目的ip地址 Ip.src=10.40.165.65 and IP.dst==183.192.173.203
(5) Ip.src=10.40.165.65 and IP.dst==183.192.173.203
(6)查看主机发送给目标主机的数据包 IP.src==10.40.165.65 and ip.dst==183.192.173.203
(7)过滤mac地址
(8)过滤端口 tcp.dstport==80
(9)访问443端口
(10)访问tcp的源端口是80或者访问udp的目的端口443
(11)端口大于1024 tcp.src>1024
(12)端口与ip地址之间的相互连接过滤 tcp.srcport==80 and ip.host==10.40.165.65
(13)过滤ack的数据包 Tcp.ack==1
(14)过滤指定的字段:协议 tcp协议,从第二个字符开始(其实长度是0,不是1,从第二个字符开始)长度为3,内容为01,bb,eb Tcp[2:3] == 01:bb:eb