WireShark

分析数据包技巧

  1. 确定WireShark的位置【是否在公网上】
  2. 选择捕获接口,一般都是internet网络接口
  3. 使用捕获过滤器
  4. 使用显示过滤器【捕获后的数据包还是很复杂,用显示过滤器过滤的更加细致】
  5. 使用着色规则【更加突出某个会话】
  6. 构件图表【看一个网络的数据变化,图表方式更直接】
  7. 重组数据【大的文件会将信息分布在很多个数据宝忠】

工作模式

混杂模式

  • 接受所有经过网卡的数据包,包括不是发给本地的数据包【即不验证MAC地址】

混杂模式的开启

普通模式

  • 普通模式下只接收发给本地的数据包(包括广播包)传递给上层程序,其他的包一律丢弃

协议分析

ARP协议

ARP协议介绍

  • 地址解析协议,是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议,它在IPV4中很重要【ARP是通过网络地址来定位MAC地址】

ARP包内容

ARP协议工作流程

看到应答包补全了自己的MAC地址,目的地址和源地址做了替换

192.168.31.155 广播:谁有192.168.31.1的MAC地址?

192.168.31.1 应答:192.168.31.1的MAC地址是xxxxxxxx

ICMP协议

ICMP协议介绍

  • 它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用

ICMP包内容

ICMP协议工作流程

本机发送一个ICMP Request包

接收方返回一个ICMP Reply包,包含了接收到的数据拷贝和一些其他指令

HTTP协议

TCP协议

TCP三次握手

  • 第一次握手

  • 第二次握手

  • 第三次握手

TCP四次挥手

UDP-DNS协议

  • 请求包

  • 响应包

常用指令

运算符

比较运算符 逻辑运算符
运算符 说明 运算符 说明
eq == 等于 and && 逻辑与
ne != 不等于 or || 逻辑或
gt > 大于 xor ^^ 逻辑异或
lt < 小于 not ! 逻辑非
ge >= 大于等于
le <= 小于等于

常见的过滤器

协议过滤器

语法

Protocal String String Comparsion opertor Value LogicalOptions Other expression

协议 值 值 比较运算符 值 逻辑运算符 其他协议

案例
显示POST提交的数据包或者是ICMP包<br>

http.request.method=="POST" or icmp.type<br>

显示IP地址为192.168.31.135的数据包<br>

id.addr==192.168.31.135<br>

显示来自10.20.0.0/16网段数据包<bR>

ip.src=10.20.0.0/16<br>

显示主机为192.168.30.33的相关数据包<br>

ip.host==192.168.30.33<br>

显示http响应状态码为302的相关数据包<br>

http.code==302<br>

显示TCP端口号为80的数据包<br>

tcp.port==80<br>

显示目的TCP端口为80的数据包<br>

tcp.dstport==80

内容过滤器

格式

contains [包含]

案例
显示包含"http"字符串的TCP数据包<br>

tcp contains "http"<br>

显示包含主机192.168.31.5的数据包<br>

http.host contains 192.168.31.5

案例【解决服务器无法上网】

TTL

Linux默认的TTL为64,每经过一个路由节点,TTL减1,TTL为0时,说明目标不可达并返回Time to live exceeded

TTL:数据报文的生存周期

TTL的作用:防止数据包在公网无限制转发

模拟场景

修改主机 TTL 值为 1,下面的方式是我们临时修改内核参数。

echo "1" > /proc/sys/net/ipv4/ip_default_ttl

  1. 单独ping网关【网关:192.168.31.1】

可以ping通

  1. ping一个网络地址

无法ping通,并返回了Time to live exceeded

再次修改一下TTL值

echo "2" > /proc/sys/net/ipv4/ip_default_ttl

  1. 再次ping网络地址

  • 发现虽然返回的是Time to live exceeded,但是返回的IP地址不是网关,这证明了数据包在网络中

    已经到达了下一个网络设备才被丢弃,由此我们还判断出我们的运营商网关地址为 171.120.52.1 但是我们并没有到达目标主机

修改回原来的TTL值

echo "64" > /proc/sys/net/ipv4/ip_default_ttl

MTR

  • 可以检测我们到达目标网络乊间的所有网络设备的网络质量,默认系统是没有安装 MTR 工具的我们手劢安装一下
apt install mtr
  • 检测到达 8.8.8.8 所有节点的通信质量
mtr 8.8.8.8

  • 我们可以看到从我当前主机到目标主机间经过 12 跳

WiresShark的更多相关文章

  1. WiresShark使用说明

    WiresShark是号称全世界最流行的网络分析工具(它的官网自己说的).下载地址:https://www.wireshark.org/#download,目前最新版本是2.6.2.我本地用的是汉化的 ...

  2. WiresShark 一站式学习

    按照国际惯例,从最基本的说起. 抓取报文: 下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包.例如,如果想要在无线网络上抓取流量,点击无线接 ...

  3. WiresShark 使用方法

    Wireshark(前称Ethereal)是一款功能强大的网络抓包分析工具,在我的工作中是不可或缺的一部分工具,往往在网络出现异常时,查看网络中的数据包,会豁然开朗.1.菜单栏  主菜单包括以下几个项 ...

  4. WiresShark 图解教程1

    Wireshark是世界上最流行的网络分析工具.这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息.与很多其他网络工具一样,Wireshark也使用pcap network ...

  5. 抓包之网络分析器- Wiresshark

    https://www.wireshark.org/ Wireshark(前称Ethereal)是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wi ...

  6. 阻碍android程序员发展的几个原因

    1应该少看网上的android开发相关技术帖子,一个是错误很多,表达也不清楚,很多都是拷贝来拷贝去的.二个是技术变迁快,很多都过时了,经常看android技术相关帖子,养成了一种惰性,遇到问题不是去看 ...

  7. Nessus漏洞扫描教程之使用Nmap工具扫描识别指纹

    Nessus漏洞扫描教程之使用Nmap工具扫描识别指纹 Nmap工具的准备工作 当用户对Nessus工具有清晰的认识后,即可使用该工具实施扫描.但是,在扫描之前需要做一些准备工作,如探测网络中活动的主 ...

  8. 原:wireshare使用技巧收集

    /data/local/tcpdump -p -vv -s 0 -w /sdcard/ThinkDrive.pcap     先抓一个pcap的包. 1. 查看所有的链接与流量 统计->对话 这 ...

  9. 转:android root tcpdump抓包强烈推荐

    转:http://www.cnblogs.com/findyou/p/3491035.html 写的相当详细且完整,业界良心. adb push d:\tcpdump /data/local/ adb ...

随机推荐

  1. C#委托的最简单入门和理解

      委托是.net语言中非常重要的一个概念,初学不太好理解也没有关系的,在一次一次的攻关后会领会到委托的精妙,可以说 .net 没有委托就没有后面更高级的事件,异步多线程等等特性的形成可能.所以一定要 ...

  2. 你有对象类,我有结构体,Go lang1.18入门精炼教程,由白丁入鸿儒,go lang结构体(struct)的使用EP06

    再续前文,在面向对象层面,Python做到了超神:万物皆为对象,而Ruby,则干脆就是神:飞花摘叶皆可对象.二者都提供对象类操作以及继承的方式为面向对象张目,但Go lang显然有一些特立独行,因为它 ...

  3. 成为 Apache 贡献者,So easy!

    点击上方蓝字关注 Apache DolphinScheduler Apache DolphinScheduler(incubating),简称"DS", 中文名 "海豚调 ...

  4. Android 自定义View - 柱状波形图 wave view

    前言 柱状波形图是一种常见的图形.一个个柱子按顺序排列,构成一个波形图. 柱子的高度由输入数据决定.如果输入的是音频的音量,则可得到一个声波图. 在一些音频软件中,我们也可以左右拖动声波,来改变音频的 ...

  5. java学习第一天.day03

    运行程序数据存储 ASCII Unicode(万国码) A在码表的顺序是65,a在码表的顺序是97,1代表49 变量 定义一个变量声明数据类型是开辟一个空间存储数据,java对数据的定义比较严格,比如 ...

  6. Golang基础教程

    以下使用goland的IDE演示,包含总计的golang基础功能共20个章节 一.go语言结构: 二.go基础语法: 三.变量 四.常量 五.运算符 六.条件语句 七.循环 八.函数 九.变量作用域 ...

  7. 经典01背包问题(C++)--详解

    二维数组解决01背包问题 题目: 有 N 件物品和一个容量是 V 的背包.每件物品只能使用一次. 第 i 件物品的体积是 vi,价值是 wi. 求解将哪些物品装入背包,可使这些物品的总体积不超过背包容 ...

  8. Redis技术

    Redis技术 Redis 简介 Redis 是一个 key-value 的 nosql 产品,存储的 value 类型更加丰富,包括 string(字符串), list(链表),set(集合),zs ...

  9. 【AGC】如何使用认证服务与云数据库处理用户信息

    ​使用场景 华为 AGC认证服务可以为应用快速构建安全可靠的用户认证系统,可以实现多种方式关联认证登录.而如何处理这些多种登录方式的用户信息,例如在应用中发布一个活动,哪些用户参加了哪一个活动,这些信 ...

  10. 一种比css_scoped和css_module更优雅的避免css命名冲突小妙招

    css_scoped 与 css_module 我们知道,简单的class名称容易造成css命名重复,比如你定义一个class: <style> .main { float: left; ...