Wireshark抓包教程(2024最新版个人笔记)

Xudde.2025-01-12 18:14

改内容是个人的学习笔记
Wireshark抓包教程(2024最新版)_哔哩哔哩_bilibili
该课程笔记1-16
wireshark基础
什么是抓包工具:用来抓取数据包的一个软件
wireshark的功能:用来网络故障排查;用来学习网络技术
wireshark下载和安装: Wireshark · Download

wireshark过滤规则
按IP地址过滤

  • 想看源IP为xx的包:ip.src==192.168.0.17
  • 想看目标IP为xx的包:ip.dst==223.5.5.5
  • 想看源或目标IP为xx的包:ip,addr==192.168.0.17
    按MAC地址过滤
  • 想看源MAC为xx的包:eth.src==00-E0-70-D0-6A-AE
  • 想看目标MAC为xx的包:eth.dst==00-E0-70-D0-6A-AE
  • 想看源或目标MAC为xx的包:eth.addr==00-E0-70-D0-6A-AE
    按端口号过滤
  • 过滤TCP端口为4694的包:tcp.port==4694
  • 过滤TCP源端口为4694的包:tc[.srcport==4694
  • 过滤TCP目标端口为4694的包:tcp.dstport==4694
    按协议类型过滤
  • arp
  • dhcp
  • http
  • https
    规则组合
  • and:想看dhcp的包,并且只想看某台电脑的dhcp包(dhcp and eth.addr==00-E0-70-D0-6A-AE)
  • or:想看dhcp或者arp(dhcp or arp)
  • !:我想看除了arp以外的包(!arp)

通过icmp保温判断网络故障
1.重难点理论梳理
2.现网案例
提前概要
ICMP,测试网络连通性
通,告诉延迟
不通,告诉原因,用ICMP包里的type+code,两个数字的组合,代表故障原因
1.没配网关。 传输失败,常见故障
2.配了网关,但是找不到网关。 来自本机的回复,无法访问目标主机(自己发ARP寻找网关MAC,失败)
3.配了网关,并且能找到网关。 来自网关的回复,无法访问目标网络(网关设备缺少路由)
4.1 后面的设备, 有回包的路由,没有目的地的路由。 报错:来自缺路由的设备,无法访问目标网络。
4.2 后面的设备,没有回包的路由,没有目的地的路由。 超时。
b ping a
a ping b
数据包都是有去有回
防火墙,不通的那个设备,禁ping
Windows防火墙,出站连接,默认禁止。需要什么允许通,防火墙设置,放行。

ICMP,type+code含义
8+0 代表是一个ping请求
0+0 代表是一个ping回应
3+0 缺路由,所以不通
3+1 不缺路由,缺arp
11+0 因为TTL值没了,所以丢包了
3+3 端口不可达
3+2 协议不可达
3+1
ping 100.100.100.101
右边的路由器172.16.2.2
查路由表,有路由表,对应g0/1直连路由
查arp,100.100.100.101对应的mac,没查到
发arp请求,从g0/1发,没得到回应
11+0
linux服务器,网络设备,发trace route
win10
tracert -d www.baidu.com
测试,我这台电脑,达到百度服务器
中间经过了哪些设备
路由跟踪
Windows,发出的是个icmp探测包,ttl=1,探测出都一跳
发出的是个icmp探测包,ttl=2,探测出都二跳
发出的是个icmp探测包,ttl=3,探测出都二跳
因为ttl=1的包,数据包没到达一个三层设备,ttl减去1,在第一跳减到0,如果ttl=0,丢弃
谁把我的包,丢了,谁给我一个报错消息,报错消息的内容,ttl没了所以丢包了
ttl=2,第二跳设备,丢我包。他给我发报错。他就是第二跳。
BOSS直聘面试问题
协议号和端口号,啥区别?
协议号:IP头部里的字段,标识这个数据包是tcp(6),还是udp(17),还是icmp(1),还是gre(47),还是ospf(80),还是vrrp
端口号:TCP,UDP头部里的字段,标识这个数据包是http(80),还是dns(53),还是ftp(21),还是tftp(69),还是smtp
DNS包
他的协议号是多少:17
他的端口号是多少:53
HTTP包
他的协议号是多少:6
他的端口号是多少:80
gre
两台路由器,想建立 gre的联系
路由器A配好了, 路由器B没配
A找B,建立gre连接 B回一个消息,协议不可达
gre---ospf---ipsec

OSI各层常见协议

  • 应用层
    • DNS
      • DNS系统的作用
      • 提供了主机名字和IP地址间的相互转换
      • DNS系统的模式
      • 采用客户端/服务器模式
    • FTP
      • FTP协议是互联网上广泛使用的文件传输协议
      • 客户端/服务器模式,基于TCP
      • FTP采用双TCP连接方式
    • TFTP
      • TFTP(简单文件传输协议)也是采用客户机/服务器模式的文件传输协议
      • TFTP适用于客户端和服务器之间不需要复杂交互的环境
      • TFTP承载再UDP之上,端口号69
      • TFTP仅提供简单的文件传输功能(上传、下载)
      • TFTP没有存取授权与认证机制,不提供目录列表功能
      • TFTP协议传输是由客户端发起的
    • HTTP
    • DHCP
    • TELNET
      • 远程管理网络设备
      • 测试端口可达性
    • SMTP
    • POP3
    • SNMP
相关推荐
最 上 川1 小时前
西电-神经网络基础与应用-复习笔记
人工智能·笔记·神经网络
番茄灭世神1 小时前
Qt学习笔记第81到90讲
笔记·学习
雾里看山3 小时前
C语言之结构体
c语言·开发语言·笔记
重生之我在20年代敲代码3 小时前
【C++入门】详解(中)
开发语言·c++·笔记
Archippus5 小时前
线段树维护最大子段和及其类似问题
笔记·oi
青い月の魔女5 小时前
数据结构初阶---排序
开发语言·数据结构·笔记·学习·算法·排序算法
MUTA️6 小时前
RT-DETR代码详解(官方pytorch版)——参数配置(1)
人工智能·pytorch·笔记·深度学习·机器学习·计算机视觉
炸毛的飞鼠8 小时前
春秋云镜——initial
笔记·学习
相思半8 小时前
Web前端开发入门学习笔记之CSS 57-58--新手超级友好版- 盒子模型以及边框线应用篇
前端·css·笔记·学习·职场和发展
热门推荐
01密码学原理技术-第六章-introduction to pulibc-key cryptography02ESP-IDF学习记录(4) ESP-IDF examples目录03半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)04Dell服务器升级ubuntu 22.04失败解决05渗透测试之SQLMAP工具详解 kali自带SQLmap解释 重点sqlmap --tamper 使用方式详解 搞完你就很nice了06优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间07go下载依赖提示连接失败08华为HarmonyOS帮助应用实现在线认证服务 -- 2 FIDO免密身份认证09HCIA-datacom数通题库和录播视频资料10xgboost: Why not implement distributed XGBoost on top of spark