Wireshark抓包教程(2024最新版个人笔记)

Xudde.2025-01-12 18:14

改内容是个人的学习笔记
Wireshark抓包教程(2024最新版)_哔哩哔哩_bilibili
该课程笔记1-16
wireshark基础
什么是抓包工具:用来抓取数据包的一个软件
wireshark的功能:用来网络故障排查;用来学习网络技术
wireshark下载和安装: Wireshark · Download

wireshark过滤规则
按IP地址过滤

  • 想看源IP为xx的包:ip.src==192.168.0.17
  • 想看目标IP为xx的包:ip.dst==223.5.5.5
  • 想看源或目标IP为xx的包:ip,addr==192.168.0.17
    按MAC地址过滤
  • 想看源MAC为xx的包:eth.src==00-E0-70-D0-6A-AE
  • 想看目标MAC为xx的包:eth.dst==00-E0-70-D0-6A-AE
  • 想看源或目标MAC为xx的包:eth.addr==00-E0-70-D0-6A-AE
    按端口号过滤
  • 过滤TCP端口为4694的包:tcp.port==4694
  • 过滤TCP源端口为4694的包:tc[.srcport==4694
  • 过滤TCP目标端口为4694的包:tcp.dstport==4694
    按协议类型过滤
  • arp
  • dhcp
  • http
  • https
    规则组合
  • and:想看dhcp的包,并且只想看某台电脑的dhcp包(dhcp and eth.addr==00-E0-70-D0-6A-AE)
  • or:想看dhcp或者arp(dhcp or arp)
  • !:我想看除了arp以外的包(!arp)

通过icmp保温判断网络故障
1.重难点理论梳理
2.现网案例
提前概要
ICMP,测试网络连通性
通,告诉延迟
不通,告诉原因,用ICMP包里的type+code,两个数字的组合,代表故障原因
1.没配网关。 传输失败,常见故障
2.配了网关,但是找不到网关。 来自本机的回复,无法访问目标主机(自己发ARP寻找网关MAC,失败)
3.配了网关,并且能找到网关。 来自网关的回复,无法访问目标网络(网关设备缺少路由)
4.1 后面的设备, 有回包的路由,没有目的地的路由。 报错:来自缺路由的设备,无法访问目标网络。
4.2 后面的设备,没有回包的路由,没有目的地的路由。 超时。
b ping a
a ping b
数据包都是有去有回
防火墙,不通的那个设备,禁ping
Windows防火墙,出站连接,默认禁止。需要什么允许通,防火墙设置,放行。

ICMP,type+code含义
8+0 代表是一个ping请求
0+0 代表是一个ping回应
3+0 缺路由,所以不通
3+1 不缺路由,缺arp
11+0 因为TTL值没了,所以丢包了
3+3 端口不可达
3+2 协议不可达
3+1
ping 100.100.100.101
右边的路由器172.16.2.2
查路由表,有路由表,对应g0/1直连路由
查arp,100.100.100.101对应的mac,没查到
发arp请求,从g0/1发,没得到回应
11+0
linux服务器,网络设备,发trace route
win10
tracert -d www.baidu.com
测试,我这台电脑,达到百度服务器
中间经过了哪些设备
路由跟踪
Windows,发出的是个icmp探测包,ttl=1,探测出都一跳
发出的是个icmp探测包,ttl=2,探测出都二跳
发出的是个icmp探测包,ttl=3,探测出都二跳
因为ttl=1的包,数据包没到达一个三层设备,ttl减去1,在第一跳减到0,如果ttl=0,丢弃
谁把我的包,丢了,谁给我一个报错消息,报错消息的内容,ttl没了所以丢包了
ttl=2,第二跳设备,丢我包。他给我发报错。他就是第二跳。
BOSS直聘面试问题
协议号和端口号,啥区别?
协议号:IP头部里的字段,标识这个数据包是tcp(6),还是udp(17),还是icmp(1),还是gre(47),还是ospf(80),还是vrrp
端口号:TCP,UDP头部里的字段,标识这个数据包是http(80),还是dns(53),还是ftp(21),还是tftp(69),还是smtp
DNS包
他的协议号是多少:17
他的端口号是多少:53
HTTP包
他的协议号是多少:6
他的端口号是多少:80
gre
两台路由器,想建立 gre的联系
路由器A配好了, 路由器B没配
A找B,建立gre连接 B回一个消息,协议不可达
gre---ospf---ipsec

OSI各层常见协议

  • 应用层
    • DNS
      • DNS系统的作用
      • 提供了主机名字和IP地址间的相互转换
      • DNS系统的模式
      • 采用客户端/服务器模式
    • FTP
      • FTP协议是互联网上广泛使用的文件传输协议
      • 客户端/服务器模式,基于TCP
      • FTP采用双TCP连接方式
    • TFTP
      • TFTP(简单文件传输协议)也是采用客户机/服务器模式的文件传输协议
      • TFTP适用于客户端和服务器之间不需要复杂交互的环境
      • TFTP承载再UDP之上,端口号69
      • TFTP仅提供简单的文件传输功能(上传、下载)
      • TFTP没有存取授权与认证机制,不提供目录列表功能
      • TFTP协议传输是由客户端发起的
    • HTTP
    • DHCP
    • TELNET
      • 远程管理网络设备
      • 测试端口可达性
    • SMTP
    • POP3
    • SNMP
相关推荐
Yawesh_best17 小时前
告别系统壁垒!WSL+cpolar 让跨平台开发效率翻倍
运维·服务器·数据库·笔记·web安全
Ccjf酷儿19 小时前
操作系统 蒋炎岩 3.硬件视角的操作系统
笔记
习习.y20 小时前
python笔记梳理以及一些题目整理
开发语言·笔记·python
在逃热干面20 小时前
(笔记)自定义 systemd 服务
笔记
DKPT21 小时前
ZGC和G1收集器相比哪个更好?
java·jvm·笔记·学习·spring
QT 小鲜肉1 天前
【孙子兵法之上篇】001. 孙子兵法·计篇
笔记·读书·孙子兵法
星轨初途1 天前
数据结构排序算法详解(5)——非比较函数:计数排序(鸽巢原理)及排序算法复杂度和稳定性分析
c语言·开发语言·数据结构·经验分享·笔记·算法·排序算法
QT 小鲜肉1 天前
【孙子兵法之上篇】001. 孙子兵法·计篇深度解析与现代应用
笔记·读书·孙子兵法
love530love1 天前
【笔记】ComfUI RIFEInterpolation 节点缺失问题(cupy CUDA 安装)解决方案
人工智能·windows·笔记·python·插件·comfyui
愚戏师1 天前
MySQL 数据导出
数据库·笔记·mysql
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连04UV安装并设置国内源05Linux下V2Ray安装配置指南06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07“我的电脑”图标没了怎么办 4种方法找回08Labelme从安装到标注:零基础完整指南09全球最强模型Grok4,国内已可免费使用!(附教程)10Gemini 3.0 Pro Preview 实测报告