Target
实践内容:使用 Wireshark 捕获和分析网络流量。
涉及知识点:Wireshark 基本使用、数据包结构、理解网络协议分析、网络流量分析。
Trial
Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Wireshark基本使用
勾选 WLAN 网卡, 启动抓包
避免其他包的影响,使用 ping 并设置过滤器
ip.addr == 183.2.172.185 and icmp
注:ping 的默认包是 icmp
成功抓包
协议颜色区分
过滤器
1.捕获过滤器
一般在最初抓包前设置,可手动添加
2.显示过滤器
过滤规则
1、抓包过滤器语法和实例
抓包过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&& 与、|| 或、!非)
(1)协议过滤
比较简单,直接在抓包过滤框中直接输入协议名即可。
TCP,只显示TCP协议的数据包列表
HTTP,只查看HTTP协议的数据包列表
ICMP,只显示ICMP协议的数据包列表
(2)IP过滤
host 10.5.86.168
src host 10.5.86.168
dst host 10.5.86.168
(3)端口过滤
port 80
src port 80
dst port 80
(4)逻辑运算符&& 与、|| 或、!非
src host 10.5.86.168 && dst port 80 抓取主机地址为10.5.86.168、目的端口为80的数据包
host 10.5.86.168 || host 10.5.86.169 抓取主机为10.5.86.168或者10.5.86.169的数据包
!broadcast 不抓取广播数据包
2、显示过滤器语法和实例
(1)比较操作符
比较操作符有== 等于、!= 不等于、> 大于、< 小于、>= 大于等于、<=小于等于。
(2)协议过滤
比较简单,直接在Filter框中直接输入协议名即可。注意:协议名称需要输入小写。
tcp,只显示TCP协议的数据包列表
http,只查看HTTP协议的数据包列表
icmp,只显示ICMP协议的数据包列表
(3) ip过滤
ip.src ==10.5.86.168 显示源地址为10.5.86.168的数据包列表
ip.dst==10.5.86.168, 显示目标地址为10.5.86.168的数据包列表
ip.addr == 10.5.86.168 显示源IP地址或目标IP地址为10.5.86.168的数据包列表
(4)端口过滤
tcp.port ==80, 显示源主机或者目的主机端口为80的数据包列表。
tcp.srcport == 80, 只显示TCP协议的源主机端口为80的数据包列表。
tcp.dstport == 80,只显示TCP协议的目的主机端口为80的数据包列表。
(5) Http模式过滤
http.request.method=="GET", 只显示HTTP GET方法的。
(6)逻辑运算符为 and/or/not
过滤多个条件组合时,使用and/or。比如获取IP地址为10.5.86.168的ICMP数据包表达式为ip.addr == 10.5.86.168 and icmp