流量抓取工具(wireshark)

协议

TCP/IP协议簇

• 网络接口层（没有特定的协议）PPPOE
  • 物理层
  • 数据链路层
• 网络层: IP(v4/v6) ARP（地址解析协议) RARP ICMP(Internet控制报文协议) IGMP
• 传输层：TCP(传输控制协议）UDP（用户数据报协议)
• 应用层：都是基于传输层协议的端口，总共端口0~65535 0~1023 HTTP—tcp80 HTTPS–TCP443
  • DHCP
  • DNS
  • HTTP
  • HTTPS
  • FTP
  • SMTP
  • POP3
  • IMAP

流量抓取工具(wireshark)

一、网卡

wireshark是对主机网卡上的数据流量进行抓取

1、网卡模式

• 混杂模式：不管目的是否是自己，都接收
• 非混杂模式：默认情况下，主机的网卡处于此模式，不会接收目的非自己的数捆

默认情况下开启混杂模式

2、界面认识

3、两种过滤器

• 捕获过滤器：在抓包之前先进行过滤（只抓某种类型的包或者不抓某些类型的包）
• 显示过滤器：抓包前后抓包后都可以进行过滤，但是不会影响抓取的包（会抓取所有的包，只不过在查看的时候只显示某些包）

4、过滤器

• 捕获过滤器

  • 语法

    • 类型:host net port

    • 方向:src dst

    • 协议:ether ip tcp udphttp ftp……

    • 逻辑运算符：&&与 ||或 !非

    • 举例

      • 抓取源IP为192.168.18.14并且目标端口为80的报文

        src host 192.168.18.14 && dst port 80
        

      • 抓取IP为192.168.18.14或者IP地址为192.168.18.1

        host 192.168.18.14 Il host 192.168.18.1
        

      • 不抓取广播包

        ! broadcast
        

      • 抓取源IP为192.168.18.14或者源192.168.18.0/24，目的TCP端口号在200到1000之间，并且目的位于129.0.0.0/8

        (src host 192.168.18.14 Il src net 192.168.18.0/24) && (dst portrange 200-10000 && dst net 119.0.0.0/8)
        

• 显示过滤器

  • 语法

    • 比较操作符: ==(eg) != (neg) >大于(gt) <小于(It) >=大于等于(ge) = 小于等于(le)
    • 逻辑操作符:and(&&)与 or (Il) not
    • IP地址过滤：ip.addr ip.src ip.dst
    • 端口过滤：tcp.port tcp.dstport udp.port tcp.flag.syn tcp.flag.ack
    • 协议过滤：arp icmp udp tcp http ip

  • 举例

    • 显示源IP等于192.168.18.14并且tcp端口为443

      ip.src==192.168.18.14 and tcp.port==443
      

    • 显示源不为192.168.18.14或者目的不为202.98.96.68的

      ip.src!=192.168.18.14 or ip.dst!=202.98.96.68