协议

TCP/IP协议簇

• 网络接口层（没有特定的协议）
  • 物理层（PPPOE，宽带拨号用）
  • 数据链路层
• 网络层：IP(ipv4 / ipv6) ARP（地址解析协议） RARP（逆地址解析协议） ICMP（Internet控制报文协议） IGMP
• 传输层：TCP（传输控制协议） UDP（用户数据报协议）
• 应用层：都是基于传输层协议的端口，总共端口0~65535 0~1023个协议
  • DHCP
  • DNS
  • HTTP
  • HTTPS
  • FTP
  • SMTP
  • POP3
  • IMAP

流量抓取工具（wireshark）

一、网卡

wireshark是对主机网卡上的数据流量进行抓取

1、网卡模式

• 混杂模式：不管目的是否是自己，都接收
• 非混杂模式：默认情况下，主机的网卡处于此模式，不会接收目的非自己的数据

2、两种过滤器

• 捕获过滤器：在抓包之前先进行过滤，只抓某种类型的包，或者不抓某种类型的包
• 显示过滤器：抓包前抓包后都可以进行过滤，但是不会影响抓取的包，会抓取所有的包，只不过在查看的时候只显示某些包

3、过滤器

• 捕获过滤器

  • 语法

    • 类型：host net port
    • 方向：src dst
    • 协议：ether ip tcp udp http……..
    • 逻辑运算符：&&与 ||或 ! 非

  • 例子：

    • 抓取源IP为192.168.183.131并且目标端口为80的报文

      src host 192.168.183.131 && dst port 80
      

    • 抓取IP为192.168.18.14或者IP为192.168.18.1的报文

      host 192.168.18.14 || host 192.168.18.1
      

    • 不抓取广播包

      !broadcast
      

    • 抓取源IP为192.168.183.131或者源网段192.168.183.0/24，目的tcp端口号在200到10000之间，并且目的位于119.0.0.0/8的报文

      (src host 192.168.183.131 || src net 192.168.183.0/24) && (dst portrange 200-10000 && dst net 119.0.0.0/8)
      

• 显示过滤器

  • 语法

    • 比较操作符： ==（eq） !=（neq） >（gt） <（lt） >=（ge） <= （le）
    • 逻辑操作符：and (&&) or (||) not
    • IP地址过滤：ip.addr ip.src ip.dst
    • 端口过滤：tcp.port udp.port tcp.dstport
    • 协议过滤：arp ip icmp udp …………..

  • 例子：

    • 显示源IP等于192.168.183.131并且tcp端口为80的报文

      ip.src == 192.168.183.131	and		tcp.port == 80
      

    • 显示源不为192.168.183.131或者目的不为192.168.183.2的报文

      ip.src != 192.168.183.131 or ip.dst != 192.168.183.2
      

标签：协议,IP,src,ip,抓取,192.168,使用,183.131,wireshark
来源： https://www.cnblogs.com/Xian-Yv/p/16459430.html