【五一创作】网络协议与攻击模拟-01-wireshark使用-捕获过滤器
协议
TCP/IP协议簇
网络接口层(没有特定的协议)PPPOE
物理层
数据链路层
网络层:IP (v4/v6) ARP (地址解析协议) RARP ICMP (Internet控制报文协议) IGMP
传输层:TCP(传输控制协议) UDP(用户数据报协议)
应用层:都是基于传输层协议的端口,总共端口0~65535 0~1023 HTTP—tcp80 HTTPS-----TCP443
DHCP
DNS
HTTP
HTTPS
FTP
SMTP
POP3
IMAP
流量抓取工具(wireshark)
一、网卡
wireshark 是对主机网卡上的数据流量进行抓取
1、网卡模式
混杂模式:不管目的是否是自己,都接收
非混杂模式:默认情况下,主机的网卡处于此模式,不会接收目的非自己的数据
2、界面认识
3、两种过滤器
捕获过滤器:在抓包之前先进行过滤(只抓某种类型的包或者不抓某些类型的包)
显示过滤器:抓包前后抓包后都可以进行过滤,但是不会影响抓取的包(会抓取所有的包,只不过在查看的时候只显示某些包)
4、过滤器
捕获过滤器
语法
类型: host net port
方向: src dst
协议: ether ip tcp udp http ftp …
逻辑运算符:&&与 | |或 !非
举例
■抓取源 IP 为192.168.18.14并且目标端口为80的报文
src host 192.168.18.14 && dst port 80
■抓取 IP 为192.168.18.14或者 IP 地址为192.168.18.1
host 192.168.18.14 || host 192.168.18.1
■不抓取广播包
! broadcast
■抓取源 IP 为192.168.18.14或者源192.168.18.0/24,目的 TCP 端口号在200到1000之间,并且目的位于129.0.0.0/8
( src host 192.168.18.14 || src net 192.168.18.0/24)&&( dst portrange 200-10000 && dst net
119.0.0.0/8)