wireshark
wireshark
流量包文件分析
必备软件:wireshark
- 用定位语法快速筛选出我们所需要的报文
- 过滤IP:“ip.src eq x.x.x.x or ip.dst eq x.x.x.x或ip.addr eq x.x.x.x
来源,目标,两者都 - 过滤端口:
tcp.port eq 80 or udp.port eq 80tcp.dstport 80 只显tcp协议的目标端口为80
tcp.srcport == 80 只显示tcp协议的,源端口为80的tcp.port >= 1 and tcp.port <= 80 显示tcp协议的,端口为1到80之间的 - 过滤协议:直接输入协议名称“tcp/udp/arp/icmp/http/ftp/dns/ip
- 过滤MAC:“eth.dst A0:00:00:04:C5:84
- 包长度过滤:“udp.length 26 指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指ip数据包下面那块数据长度>=7,不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其他都算是ip.len,即从ip本身到最后
fram.len == 119 指整个数据包长度,从eth开始到最后 - http模式过滤
http.request.method == "GET" 过滤请求方式为GET
http.request.method == "POST 过滤请求方式为POST"http.request.uri “/img/logo-edu.gif” 资源定位(相对)http contains “GET” http包含GET字段http contains “flag” http包含flag字段tcp contains “flag” tcp包含key字段`
统计→协议分级
- 过滤IP:“ip.src eq x.x.x.x or ip.dst eq x.x.x.x或ip.addr eq x.x.x.x
ICMP:
对于 ICMP 的功能,主要分为两个:
- ICMP 的第一个功能是确认 IP 包是否能够成功到达目标地址,当两个设备进行互联时,其中一个设备发送给另一个设备的 IP 包如果没有到达,就会生成 ICMP 数据包发送给设备共享。
- ICMP 的第二个功能是进行网络诊断,经常使用 ICMP 数据包的两个终端程序是 ping 和 traceroute,traceroute 程序用于显示两台互联网设备之间可能的路径并测量数据包在 IP 网络上的时延。ping 程序是 traceroute 的简化版本,我们经常使用 ping 命令来测试两台设备之间网络是否正常,ping 还可以显示两台设备之间的延迟情况,并准确报告数据包到达目的地并返回后所花费的时间。
