wireshark 网络分析工具

✍作者：柒烨带你飞
💪格言：生活的情况越艰难，我越感到自己更坚强；我这个人走得很慢，但我从不后退。
📜系列专栏：网络安全从菜鸟到飞鸟的逆袭

一、网络截获数据包的基础

1、以太网卡的工作模式

以太网卡在正常情况下只接收MAC地址与自己相匹配的数据帧（单播包），广播包，属于自己的组播包
网卡完成收发数据包的工作，两种接收模式

• 混杂模式：不管数据帧中的目的地址是否与自己的地址匹配，都接收下来
• 非混杂摸式：只接收目的地址相匹配的数据帧，以及广播数据包和组播数据包。默认情况下，网卡处于该模式
  捕获->选项，可设置模式

2、单播、组播、广播的概念

• 单播：是在一个单个的发送者和一个接受者之间通过网络进行的通信
• 组播：它允许把所发消息传送给所有可能目的地中的一个经过选择的子集，即向明确指出的多种地址输送信息
• 广播：在网络中只有一个单一的通信信道，由这个网络中所有的主机所共享

3. 两种过滤器

• 捕获过滤器：在抓包之前先进行过滤（只抓某种类型的包）
• 显示过滤器：抓包前后，都可以进行过滤，不影响抓取的包（抓取所有的包）

二，过滤器

1. 捕获过滤器的语法说明

   • 类型Type:host(指定)、net(网络)、port(端口)
   • 方向Dir:src(源)、dst(目的)
   • 协议Proto:ether、ip、tcp、udp、http、ftp
   • 逻辑运算符：&&与、‖或、！非

  `#抓取源地址为192.168.1.1，目的端口为80的流量`
	src host 192.168.1.1 &dst port 80
	
	`#抓取192.168.1.1和192.168.1.2的流量`
	host192.168.1.1||host192.168.1.2`
	
	`#不要抓广播包`
	!broadcast
	
	`#抓取目的UDP端口为4569的封包`
	`udp dst port 4569$`
	
	`#抓取目的或来源IP地址为192.168.4.7的封包`
	host192.168.4.7
	
	`#抓取来源为TCP或UDP,并且端口在2000~5000范围内的封包`
	`src portrange 2000-5000$`
	
	`#抓取来源IP地址为172.17.12.1，但目的地址不是192.168.2.0/24的封包`
	srch0st172.17.12.1 and not dst net192.168.2.0/24

3. 显示过滤器

该过滤器根据指定的表达式用于在一个已捕获的数据包集合中，隐藏不想显示的数据包，或者只显示那些需要的数据包。

• 语法说明
  • 比较操作符：= =等于(eq)、!=不等于(ne)、>大于(gt)、<小于(It)、>=大于等于(ge)、<=小于等于(le)`
  • 逻辑操作符：and(&&)两个条件同时满足、or(||)其中一个条件被满足、xor有且仅有一个条件被满足、not没有条件被满足
  • IP地址过滤：ip.addr(IP地址)、ip.src(源地址)、ip.dst(目的地址)
  • 端□过滤：tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn、tcp.fag.ack
  • 协议过滤：arp、ip、icmp、udp、tcp、http、tls、等等

案例

• 开启wireshark抓包，抓取所有的报文，然后去访问一个HTTP的网站
• 过滤DNS的报文，找到对应的域名解析报文
• 根据DNS返回的IP地址，找到主机与服务器的TCP交互过程
• 找到客户机请求服务器的HTTP报文，追踪HTTP流情况
  显示dns报文
  Ctil + n 查找baidu.com
  
  ip.addr==39.156.66.10
  
  博主的其他系列专栏📜📜📜
• 1 环境配置集合
• 2 C语言小实例项目
• 3 HTML入门 + 实战小案例

创作不易，😊如果觉得文章不错或能帮助到你学习，可以点赞👍收藏📁评论📒+关注哦！留下你的看法和建议💕
我们下期见✍️