Wireshark抓包教程(2024最新版个人笔记)

Xudde.2025-01-12 18:14

改内容是个人的学习笔记
Wireshark抓包教程(2024最新版)_哔哩哔哩_bilibili
该课程笔记1-16
wireshark基础
什么是抓包工具:用来抓取数据包的一个软件
wireshark的功能:用来网络故障排查;用来学习网络技术
wireshark下载和安装: Wireshark · Download

wireshark过滤规则
按IP地址过滤

  • 想看源IP为xx的包:ip.src==192.168.0.17
  • 想看目标IP为xx的包:ip.dst==223.5.5.5
  • 想看源或目标IP为xx的包:ip,addr==192.168.0.17
    按MAC地址过滤
  • 想看源MAC为xx的包:eth.src==00-E0-70-D0-6A-AE
  • 想看目标MAC为xx的包:eth.dst==00-E0-70-D0-6A-AE
  • 想看源或目标MAC为xx的包:eth.addr==00-E0-70-D0-6A-AE
    按端口号过滤
  • 过滤TCP端口为4694的包:tcp.port==4694
  • 过滤TCP源端口为4694的包:tc[.srcport==4694
  • 过滤TCP目标端口为4694的包:tcp.dstport==4694
    按协议类型过滤
  • arp
  • dhcp
  • http
  • https
    规则组合
  • and:想看dhcp的包,并且只想看某台电脑的dhcp包(dhcp and eth.addr==00-E0-70-D0-6A-AE)
  • or:想看dhcp或者arp(dhcp or arp)
  • !:我想看除了arp以外的包(!arp)

通过icmp保温判断网络故障
1.重难点理论梳理
2.现网案例
提前概要
ICMP,测试网络连通性
通,告诉延迟
不通,告诉原因,用ICMP包里的type+code,两个数字的组合,代表故障原因
1.没配网关。 传输失败,常见故障
2.配了网关,但是找不到网关。 来自本机的回复,无法访问目标主机(自己发ARP寻找网关MAC,失败)
3.配了网关,并且能找到网关。 来自网关的回复,无法访问目标网络(网关设备缺少路由)
4.1 后面的设备, 有回包的路由,没有目的地的路由。 报错:来自缺路由的设备,无法访问目标网络。
4.2 后面的设备,没有回包的路由,没有目的地的路由。 超时。
b ping a
a ping b
数据包都是有去有回
防火墙,不通的那个设备,禁ping
Windows防火墙,出站连接,默认禁止。需要什么允许通,防火墙设置,放行。

ICMP,type+code含义
8+0 代表是一个ping请求
0+0 代表是一个ping回应
3+0 缺路由,所以不通
3+1 不缺路由,缺arp
11+0 因为TTL值没了,所以丢包了
3+3 端口不可达
3+2 协议不可达
3+1
ping 100.100.100.101
右边的路由器172.16.2.2
查路由表,有路由表,对应g0/1直连路由
查arp,100.100.100.101对应的mac,没查到
发arp请求,从g0/1发,没得到回应
11+0
linux服务器,网络设备,发trace route
win10
tracert -d www.baidu.com
测试,我这台电脑,达到百度服务器
中间经过了哪些设备
路由跟踪
Windows,发出的是个icmp探测包,ttl=1,探测出都一跳
发出的是个icmp探测包,ttl=2,探测出都二跳
发出的是个icmp探测包,ttl=3,探测出都二跳
因为ttl=1的包,数据包没到达一个三层设备,ttl减去1,在第一跳减到0,如果ttl=0,丢弃
谁把我的包,丢了,谁给我一个报错消息,报错消息的内容,ttl没了所以丢包了
ttl=2,第二跳设备,丢我包。他给我发报错。他就是第二跳。
BOSS直聘面试问题
协议号和端口号,啥区别?
协议号:IP头部里的字段,标识这个数据包是tcp(6),还是udp(17),还是icmp(1),还是gre(47),还是ospf(80),还是vrrp
端口号:TCP,UDP头部里的字段,标识这个数据包是http(80),还是dns(53),还是ftp(21),还是tftp(69),还是smtp
DNS包
他的协议号是多少:17
他的端口号是多少:53
HTTP包
他的协议号是多少:6
他的端口号是多少:80
gre
两台路由器,想建立 gre的联系
路由器A配好了, 路由器B没配
A找B,建立gre连接 B回一个消息,协议不可达
gre---ospf---ipsec

OSI各层常见协议

  • 应用层
    • DNS
      • DNS系统的作用
      • 提供了主机名字和IP地址间的相互转换
      • DNS系统的模式
      • 采用客户端/服务器模式
    • FTP
      • FTP协议是互联网上广泛使用的文件传输协议
      • 客户端/服务器模式,基于TCP
      • FTP采用双TCP连接方式
    • TFTP
      • TFTP(简单文件传输协议)也是采用客户机/服务器模式的文件传输协议
      • TFTP适用于客户端和服务器之间不需要复杂交互的环境
      • TFTP承载再UDP之上,端口号69
      • TFTP仅提供简单的文件传输功能(上传、下载)
      • TFTP没有存取授权与认证机制,不提供目录列表功能
      • TFTP协议传输是由客户端发起的
    • HTTP
    • DHCP
    • TELNET
      • 远程管理网络设备
      • 测试端口可达性
    • SMTP
    • POP3
    • SNMP
相关推荐
_Kayo_5 小时前
node.js 学习笔记3 HTTP
笔记·学习
星星火柴9369 小时前
关于“双指针法“的总结
数据结构·c++·笔记·学习·算法
秃了也弱了。9 小时前
WireShark:非常好用的网络抓包工具
网络·测试工具·wireshark
Cx330❀11 小时前
【数据结构初阶】--排序(五):计数排序,排序算法复杂度对比和稳定性分析
c语言·数据结构·经验分享·笔记·算法·排序算法
小幽余生不加糖11 小时前
电路方案分析(二十二)适用于音频应用的25-50W反激电源方案
人工智能·笔记·学习·音视频
..过云雨12 小时前
01.【数据结构-C语言】数据结构概念&算法效率(时间复杂度和空间复杂度)
c语言·数据结构·笔记·学习
岑梓铭13 小时前
考研408《计算机组成原理》复习笔记,第五章(3)——CPU的【数据通路】
笔记·考研·408·计算机组成原理·计组
Blossom.11819 小时前
把 AI 推理塞进「 8 位 MCU 」——0.5 KB RAM 跑通关键词唤醒的魔幻之旅
人工智能·笔记·单片机·嵌入式硬件·深度学习·机器学习·搜索引擎
草莓熊Lotso20 小时前
《吃透 C++ 类和对象(中):const 成员函数与取地址运算符重载解析》
c语言·开发语言·c++·笔记·其他
玖別ԅ(¯﹃¯ԅ)21 小时前
PID学习笔记6-倒立摆的实现
笔记·stm32·单片机
热门推荐
01UV安装并设置国内源02KGG转MP3工具|非KGM文件|解密音频03【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)04Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code05蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接062025最新国内服务器可用docker源仓库地址大全(2025年8月更新)07TRAE 规则(Rules)配置指南:个人习惯、团队规范与最佳实践08NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南09全球最强模型Grok4,国内已可免费使用!(附教程)10TRAE Rules 实践:为项目配置 6A 工作流