wireshark學習筆記(三)

2021-07-31 11:14:01 字數 1197 閱讀 8255

wireshark學習筆記(三)

抓包過濾器

過濾規則

過濾ip:

例:ip.src 192.168.1.107 or ip.dst 202.102.192.68

或者模糊書寫:ip.host 202.102.192.68將能捕捉到源和目的等於該ip的會話;

src host 172.16.2.180 and not dst net 202.102.192.0/24捕捉源位址為172.16.2.180,但目的位址不是202.102.192.0網路的資料報;

過濾埠:

例:tcp port 80不區分源或者目的埠只要資料報包含有80埠都將**捉;

tcp port 80 or udp port 80多條件匹配,匹配tcp或者udp埠為80的資料報,不區分源或者目的埠;

tcp dst port 80捕捉目的埠為80的資料報;

tcp src port 80捕捉源埠為80的資料報;

tcp port 1|| udp port 53捕捉tcp埠等於1或者udp埠等於53的資料報;

tcp src portrange 1-80 捕捉埠範圍1到80的tcp資料報;

src net 172.16.0.0/16 and (src portrange 1-2000 or src portrange 2000-40000) &&(dst portrange 1-80) 捕捉所有源網路為172.16.0.0並且埠範圍是1-2000或者是2000-40000並且目的埠是1-80埠範圍的資料報;

過濾協議:

例:在filter(過濾)框內直接輸入tcp、udp、arp、icmp、tcp port http、tcp port smtp、tcp port ftp、ip等等;可直接過濾協議。假如想要排除哪個協議不顯示我們可以直接在前面加上 ! 來進行排除。例如:!arp 就對arp協議的資料報不做顯示;(由於捕捉過濾器和顯示過濾器有些差異,我們再輸入時要注意語法)

過濾mac:

ether dst a0-00-00-04-c5-84捕捉目標mac為a0-00-00-04-c5-84的資料報;

ether src a0-00-00-04-c5-84捕捉源mac為a0-00-00-04-c5-84的資料報;

ether host a0-00-00-04-c5-84無論源或者目的位址為a0-00-00-04-c5-84的資料報都會進行過濾; 

wireshark 學習筆記 1

1 wireshark 是個什麼樣的軟體 免費,廣泛使用,跨平台。2 怎麼去用wireshark 埠映象 首選 集線器輸出 碰撞性大 網路分流器 需要額外裝置 arp快取 有點不安全 直接安裝 有點佔資源。3 捕獲檔案 pcap 合併捕獲 4 bpf,捕獲過濾器的語法 與tcpdump同 bpf基元...

WireShark學習筆記(一)

1 從wireshark分析網路層協議的傳輸 下面是網路介面層協議,從圖中可以看到兩個相鄰裝置的mac位址,因此該網路包才能以接力的方式傳送到目的位址。下面是網路層,在這個包中,主要的任務是把tcp層傳先來的資料加上目的位址和原位址,有了目標位址,資料才可能送到接受方,有了原位址,接收方才知道傳送者...

wireshark學習筆記(MAC位址欺騙)

開啟kali linux,我們可以使用kali中的macchanger軟體更改我們在交換機中的mac位址,達到隱藏我們真實mac位址的目的。在終端介面中輸入macchanger h可以檢視macchanger的具體命令幫助。macchanger h 輸出幫助頁面。macchanger v 輸出版本資...