抓包
資料報嗅探器工作原理
資料報嗅探過程中涉及到軟體和硬體之間的協作。這個過程可以分為成3個步驟。
第一步:收集,資料報嗅探器從網路線纜上收集原始二進位制資料。通常情況下,通過將選定的網絡卡設定成混雜模式來完成抓包。在這種模式下,網絡卡將抓取乙個網段上所有的網路通訊流量,而不僅是發往它的資料報。
第二步:轉換,將捕獲的二進位制資料轉換成可讀形式。高階的命令列資料報嗅探器就支援到這一步驟。到這步,網路上的資料報將以一種非常基礎的解析方式進行顯示,而將大部分的分析工作留給終端使用者。
第三步:分析,對捕獲和轉換後的資料進行真正的深入分析。資料報嗅探器以捕獲的網路資料作為輸入,識別和驗證它們的協議,然後開始分析每個協議的特定屬性。
wireshark定義及用途
wireshark面板
packet list 面板——顯示開啟檔案的每個包的摘要。
用**顯示了當前捕獲檔案中的所有資料報,其中包括了資料報序號、資料報**獲的相對時間、資料報的源位址和目標位址、資料報的協議以及在資料報中找到的概括資訊等列。點選面板中的單獨條目,包的其他情況將會顯示在另外兩個面板中。
packet details 面板——顯示您在packet list 面板中選擇的包的更多詳情。可以通過展開或是收縮來顯示這個資料報中所捕獲到的全部內容。
packet bytes 面板——顯示您在packet list 面板選擇的包的資料。以及在packet details 面板高亮顯示的字段。
過濾器
捕獲過濾器:捕獲滿足給定的包含/排除表示式的資料報;
•protocol(協議): ether, fddi, ip, arp, rarp, decnet, tcp and udp。
•direction(方向): src, dst, src and dst, src or dst。預設使用 「src or dst」 作為關鍵字。
•host(s): net, port, host, portrange。預設使用「host」關鍵字。
•logical operations(邏輯運算): not, and, or.否("not")具有最高的優先順序或("or")和與("and")具有相同的優先順序,運算時從左至右進行。
•tcp dst port 8081 顯示目的tcp埠為8081的封包。
•not imcp 顯示除了icmp以外的所有封包。
顯示過濾器:根據指定的表示式用於在乙個已捕獲的資料報集合中隱藏不想顯示的資料報或只顯示需要的資料報。
•協議過濾 eg:tcp 只顯示tcp協議
•ip過濾 eg: ip.src ==192.168.0.1 顯示源位址為192.168.0.1,ip.dst==192.168.1.1, 目標位址為192.168.1.1
•埠過濾 eg:tcp.port ==80, 埠為80的,tcp.srcport == 80, 只顯示tcp協議的原埠為80的。
•http模式過濾 eg:http.request.method=="get", 只顯示http get方法的。
•邏輯運算子and/or
Wireshark 網路抓包與分析工具
wireshark是世界上最流行的網路分析工具。這個強大的工具可以捕捉網路中的資料,並為使用者提供關於網路和上層協議的各種資訊。與很多其他網路工具一樣,wireshark也使用pcap network library來進行封包捕捉。wireshark的優勢 安裝方便。簡單易用的介面。提供豐富的功能。...
wireshark 抓包問題
一 the npf driver isn t running 這個錯誤是因為沒有開啟npf服務造成的。npf即網路資料報過濾器 netgroup packet filter,npf 是winpcap的核心部分,它是winpcap完成困難工作的元件。它處理網路上傳輸的資料報,並且對使用者級提供可捕獲 ...
Wireshark抓包練習
姓名 郭瀚鵬 學號 15307130174 專業 資訊保安 dns 查詢分組 首部區域 internet protocol version 4 ipv4 src 源ip dst 目的id header length 首部長度 differentiated services 區分服務 保證qos服務的...