其他分享
首页 > 其他分享> > Wireshark相关知识

Wireshark相关知识

作者:互联网

1. 抓包过滤器语法BPF( Berkeley Packet Filter):
    其中包括4种元素:类型,方向,协议和逻辑运算符.
    类型Type: host, net, port
    方向Dir: src,dst
    协议Proto: ether, ip, tcp, udp,http,ftp…
    逻辑运算符:&&(and),||(or),!(not)

    抓包过滤器语法举例:
        host 192.168.1.1 || host 192.168.1.2
        ! broadcast #不要抓取广播报
        ether host 本机MAC #常用于过滤只抓取与本机相关的数据包


2. 显示过滤器语法:
    比较操作符:==,!=,>,<,>=,<=
    逻辑操作符:&&(and),||(or),!(not),^^(xor)
    IP地址:ip.addr, ip.src, ip.dst
    端口过滤:tcp.port, tcp.srcport, tcp.dstport, tcp.flags.syn, tcp.flags.ack
    协议过滤:arp, ip, icmp, udp, tcp, bootp, dns…

    显示过滤器举例说明:
        tcp.port == 80 #指定端口号
        portrange 25-8338 #端口范围25-8338
        ip.addr == 192.168.1.53 #模糊指定IP
        ip.src_host ==192.168.1.53 or ip.dst_host ==192.168.1.1 #来源和目标分别指定IP

 

3. 操作和相关知识:
    图形界面查看握手:统计-流量图

    显示域名非ip:开启名字解析resolve name

    详细信息窗口:
        是按照TCP/IP四层结构显示的,
        第一行是数据链路层的信息(MAC协议),
        第二行是网络层信息(IP协议),
        第三行是传输层信息(TCP协议),
        第四行是应用层信息(HTTP协议),
        可以展开每一行用来观察具体的内容

    TTL:数据报文的生存周期。默认linux值为64,每经过一个路由节点,TTL值减1,为0时说明目标地址不可达,返回Time to live exceeded(超过生存周期,数据包被丢弃). 作用是防止数据包在公网中无限转发。
    windows 128 , linux 64 , solaris/aix 254


4. 实例抓取报文详解:

    tcp协议:最常用的协议http,https,ssh等都使用的是它
    三次握手四次挥手:
        [SYN],[SYN,ACK],[ACK];
        [FIN,ACK],[ACK],[FIN,ACK][ACK].
     例如:一次完整的SSH三次握手:源IP端发送syn数据包包含请求端口20193->22,服务端接收到消息之后回复ack并再发送回一个syn请求数据包包含回复响应请求端口22->20193,源IP端收到后回复ack,三次握手完成。

#########################

    arp协议:是一个通过解析网络层地址来寻找数据链路层地址的网络传输协议, ARP是通过网络地址来定位MAC地址。
    广播包事例:
    # 广播包和应答包的目的和源会互换,一个问你在哪?一个回答在这里!
    Address Resolution Protocol(reply) #
    Hardware type:Ethernet(1) #硬件类型
    Protocol type:IPv4(0x0800) #协议类型
    Hardware size:6 #硬件地址,byte
    Protocol size:4 #协议长度,byte
    opcode:request(1)-请求
                  reply(2)-响应 #操作码
    Sender MAC address:…  #源MAC地址
    Sender IP address: … #源IP地址
    Target MAC address:… #目标MAC地址
    Target IP address:…  #目标IP地址


#########################

icmp协议
     分一对请求包和应答包
    Type:8(Echo (ping) Request)
    #Type:0(Echo (ping) Request) 
    Code:0 #协议类型8代码0是请求包,协议类型0代码0是应答包
    Checksum:… #校验和用于检查错误
    [Checksum  States:good] #校验状态
    Identifier number(BE)
    Identifier number(LE)# ID值
    Sequence number(BE)
    Sequence number(LE)#序列号
    [Response frame:52] #响应帧的序列号
    …
    Data(48 Bytes) #填充的数据,共48字节

标签:协议,ip,知识,host,tcp,MAC,IP,相关,Wireshark
来源: https://www.cnblogs.com/zhaolongisme/p/16426443.html