Wireshark抓包基础

基础

Wireshark两种模式

混杂模式:

接受所有经过网卡的所有数据包

普通模式:

只接受发给本机的包

抓包效果

ip.addr == 183.2.172.42 and icmp

ip.addr == 183.232.231.172 and icmp 表示只显示 ICPM 协议且主机 IP为183.232.231.172 的数据包。说明:icmp要小写。

其中internet control message protocol:为icmp协议特有,其他协议有其他显示,如tcp协议------Transnission Control Protocol

具体数据(tcp):

过滤规则:

直接输入过滤协议:tcp、http、icmp等

主机过滤:

源地址IP:ip.src == 192.168.1.1

目的地址:ip.dst == 192.168.1.1

过滤子网:ip.addr == 192.168.1.0/24

过滤指定ip:ip.addr == 192.168.1.0

端口过滤:

源端口过滤:tcp.srcport == 80

目的端口过滤:tcp.dstport == 443

端口过滤:tcp.port == 80

注:协议可更改

http模式过滤:

只显示http get 方法:http.request.method=="GET"(post也行)

逻辑运算符:

查看两个ip地址:ip.addr == 192.168.1.1 and ip.addr == 192.168.1.2

查看ip地址并且是icmp数据包的:ip.addr == 192.168.1.1 and icmp

此外还有:

或其中一个:or

除此之外:not

按照数据包进行过滤:

由icmp演示

如果想筛选数据包中包含abcd内容的数据流关键词为contains,完整的表达式为

data contains "abc"

具体步骤如下演示

常见过滤需求:

数据链路层:

筛选源mac地址:eth.src == 04:f9:38:ad:13:26

筛选目的mac:eth.dst == 04:f9:38:ad:13:26

网络层:

筛选网段的数据:ip contains "192.168.1"

注:这是基于网络地址分类的,如a类就是第一位,b类就是第二位

传输层:

筛选12345端口和80端口之间的数据包:tcp.port == 12345 && tcp.port == 80

筛选12345端口到80端口的数据包:tcp.srcport == 12345 && tcp.dstport ==80

应用层:

http.request表示请求头中的第一行(GET index.jsp HTTP/1.1)http.response表示响应头中的第一行(http/1.1 200 OK),其他头部都用http.header_name形式

筛选url中包含.php的http数据包:http.request.uri contains".php"

筛选内容包含username的http数据包:http contains"username"

实战

服务器被黑上不了网,可以ping通网关,不能上网

TTL:数据报文的生存周期

默认linux操作系统值:64,每经过一个路由节点,TTL值减1。TTL值为0时,说明目标地址不可达并返回:Time to live exceedede

作用:防止数据包,无限制在公网中转发

修改linux中ttl的值为1:echo "1" > /proc/sys/net/ipv4/ip_default_ttl​

当出现time-to-live exceeded就说明ttl可能出现了问题

相关推荐
AI视频剪辑官10 分钟前
播客切片工具选型核心评价维度
网络·人工智能·算法
米小虾17 小时前
AI Agent 安全实战指南:当智能体开始"不听话",开发者该如何应对?
人工智能·安全·agent
tntxia1 天前
网络安全漏洞修复(一)
安全
泯泷3 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷3 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt7 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab12 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31115 天前
VPN 与内网穿透
安全
Mr_愚人派16 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao17 天前
【无标题】
人工智能·安全