协议
TCP/IP协议簇
- 网络接口层(没有特定的协议) PPPOE
- 网络层:IP(4/6) ARP(地址解析协议) RARP ICMP(Internet控制报文协议)IGMP
- 传输层:TCP(传输控制协议)UDP(用户数据报协议)
- 应用层:都是基于传输层协议的端口,总共端口0~65535 0~1023 HTTP—tcp80 HTTPS----TCP443
- DHCP
- DNS
- HTTP
- HTTPS
- FTP
- SMTP
- POP3
- IMAP
网卡
wireshark是对主机网卡上的数据流量进行抓取
-
网卡模式
- 混杂模式:不管目的是否是自己,都接收
- 非混杂模式:默认情况下,主机的网卡处于此模式,不会接收目的非自己的数据
-
界面认识
-
两种过滤器
- 捕获过滤器:在抓包之前先进行过滤(只抓某种类型的包或者不抓某些类型的包)
- 显示过滤器:抓包前后抓包后都可以进行过滤,但是不会影响抓取的包(会抓取所有的包,只不过在查看的时候只显示某些包)
-
过滤器
-
捕获过滤器
-
语法
- 类型:host net port
- 方向:src dst
- 协议: ether ip tcp udp http ftp.………
- 逻辑运算符:&&与|或!非
-
举例
-
抓取源IP为192.168.18.14并且目标端口为80的报文
src host 192.168.18.14 && dst port 80
-
抓取IP为192.168.18.14或者IP地址为192.168.18.1
host 192.168.18.14 || host 192.168.18.1
-
不抓取广播包
!broadcast
-
抓取源IP为192.168.18.14或者源192.168.18.0/24,目的TCP端口号在200到1000之间,并且目的位于129.0.0.0/8
(src host 192.168.18.14 |l src net 192.168.18.0/24) && (dst portrange 200-10000 && dst net119.0.0.0/8)
-
显示过滤器
-
语法
- 比较操作符: == (eq) != (neg) >大于(gt) <小于(Jt) >=大于等于(ge) <=小于等于(e)
- 逻辑操作符: and (&&)与or (ll)not
- IP地址过滤:ip.addr ip.src ip.dst
- 端口过滤: tcp.port udp.port tcp.dstport tcp.flag.syn tcp.flag.ack
- 协议过滤: arp ip icmp udp tcp http
-
举例
-
显示源等于192.168.18.14并且tcp端口为443
ip.src==192.168.18.14 and tcp.port==443
-
显示源不为192.168.18.14或者目的不为202.98.96.68的
ip.src!=192.168.18.14 or ip.dst!=202.98.96.68
-
案例
- 开启wireshark抓包,抓取所有的报文,然后去访问一个HTTP的网站
- 过滤DNS的报文,找到对应的域名解析报文
- 根据DNS返回的IP地址,找到主机与服务器的TCP交互过程
- 找到客户机请求服务器的HTTP报文,追踪HTTP流情况