wireshark

一、原因 1、手机目前没有类似的抓包工具可以直接对手机进行抓包 2、一般数据交换的路线是：手机——>运营商——>服务器，可以在手机和运营商中间加一道网卡变成：手机——>PC网卡——>运营商——>服务器。 3、利用电脑上的Wifi共享可以用有线网卡和运营商连接，把无线网卡开启作为无线热点，然后手机连接电脑共享的Wifi网络，这样访问路线就变成了：手机——>电脑无线网卡——>电脑有线网卡——>运营商——>服务器。此时使用Wireshark抓包只需抓电脑无线网卡或者电脑有线网卡即可。 二、设置PC端虚拟Wifi 这里有两种方法，一个是安装相关Wifi共享软件一键设定，另一个是使用cmd命令开启。此处只写使用cmd命令开启虚拟Wifi的过程 1、前提 已安装网卡驱动 PC的无线网卡要支持软AP（Soft-AP） 已插入网卡 2、查看虚拟网络状态 打开命令提示符（cmd）：Windows+R打开运行，输入cmd并回车（要以管理员身份运行） 输入：netsh wlan show hostednetwork 注意：此处我已经设置了虚拟Wifi：SSID2（下方会写出如何设置虚拟Wifi） 开启承载网络模式：输入netsh wlan start hostednetwork mode回车 　　 开启无线热点功能：如下图输入开启承载网络模式语句时提示无法启动承载网络，输入netsh wlan set

Wireshark 查看FTPS（FTP over STL support）问题 客户端登陆FTPS后，无法获得共享的目录 Wireshark抓包发现79以前的数据包都是客户端15276和服务器端990的通信。但是突然80数据包是客户端15277向服务器端60018发起SYN, 然后数据包89，123，142数据包是客户端15277向服务器端60018发起SYN重传。说明服务器端一直没收到这个SYN包。怀疑60018端口被防火墙阻挡。 重新设置FileZilla FTP Server，将端口范围缩小设置，确保防火墙开启这些端口60000,60001。问题解决。 来源： oschina 链接： https://my.oschina.net/u/4280362/blog/3652019

原文： https://blog.csdn.net/u014608280/article/details/84586042 ------------------------------------------------------ 一、简介 redis 客户端和服务端之间通信的协议是RESP（REdis Serialization Protocol）。传输层使用TCP。RESP的特点是： 实现容易 解析快 人类可读 二、数据类型 和协议格式 RESP实际上是一个支持以下数据类型的序列化协议：简单字符串（Simple Strings），错误(Errors)，整数(Integers)，批量字符串（Bulk String）和数组（Arrays）。 RESP在Redis中用作请求 - 响应协议的方式如下： 客户端将命令作为Bulk Strings的RESP数组发送到Redis服务器。 服务器根据命令实现回复一种RESP类型。 在RESP中，某些数据的类型取决于第一个字节： 对于简单字符串，回复的第一个字节是“+” 对于错误，回复的第一个字节是“ - ” 对于整数，回复的第一个字节是“：” 对于批量字符串，回复的第一个字节是“$” 对于数组，回复的第一个字节是“ *” 在RESP中，协议的不同部分始终以“\ r \ n”（CRLF）结束。 三、请求格式 *<number of

　　前言：为什么要学wireshark？工欲善其事必先利其器，wireshark是一款工具软件，主要作用是抓取数据封包，可以帮助我们更加直观更加具象的学习各种网路协议（http、TLS、TCP、UDP、IP、ARP、ICMP等）。学习wireshark能够帮助我们更好的了解网络协议，当然学习好网络协议也能够让我们更快地学习wireshark，二者相辅相成、互相促进。 　　说明：文中使用的是wiresharkv2.6.3汉化版，操作系统是windows10。 　　特殊的标记：【注意】指出一些常见的错误，或者一些不明显的东西；【提示】表示这个功能日常用到的地方比较多。 一：wireshark是什么？ wireshark是一款封包查看和分析工具（或者说是一种软件），能够截取各种网络封包，并显示封包的详细信息。 wireshark是开源软件，可以在windows和Mac os上运行。 处于安全考虑，wireshark只能查看封包，不能修改封包里的数据，也不能发送封包。 二：常用的抓包工具 fiddler：是在windows上运行的程序， 专门捕获http https 协议的封包，也可以解密https封包，可以修改封包和发送数据。 wireshark：可以抓各种协议的封包，比如http、https、tcp、SSL等，但是不能解析https封包，不能修改封包，不能发送数据。 其他类型的抓包工具

Wireshark 抓包过滤器学习 wireshark中，分为两种过滤器： 捕获过滤器 和 显示过滤器 捕获过滤器 是指wireshark一开始在抓包时，就确定要抓取哪些类型的包；对于不需要的，不进行抓取。 显示过滤器 是指wireshark对所有的包都进行抓取，当用户分析数据包的信息，便于筛选出需要的数据包。 总结来说， 捕获过滤器 是在用户开始任务之前就要使用的规则；而 显示过滤器 是任务开始之后（无论是否已完成）要使用的规则。 一、捕获过滤器 1、语法结构 Protocols ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcp and udp 注：若不指定，默认使用所有支持的协议 Direction src,dst,src and dst,src or dst 注：若不指定，默认使用双向（src or host） Host net,port,host,portrange 注：若不指定，默认所有（host） Logical Operations and,or,not 注：not优先级最高，or和not优先级相等，从左至右依次运算 Other expression 其他的过滤条件，当有多重表达条件时与Logica Operatios 一起连用 2、使用示例 过滤地址 host 192.168.1.1　　//只抓取源

Wirshark使用的关键就在于过滤出想要的数据包，下面介绍怎么过滤。 抓包过滤器 Wirshark有两种过滤器，一个是抓包过滤器，一个是显示过滤器，他们之间的 区别 在于 抓包过滤器 只抓取你设置的规则，同时丢弃其他信息， 显示过滤器 并不会丢弃信息，只是将不符合规则的数据隐藏起来而已。有时候一旦数据包被丢弃，这些数据包就无法在恢复回来。还有一个区别就是，捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。 两种过滤器的目的也是不同的： 捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。 显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。 说完区别，他们也是有 共同点 的，就是都遵循BPF语法。看到这里，你可能大概就能知道wireshark的套路了，想用好他，过滤是关键，下面只是介绍了两种过滤的流程，跟着步骤，谁都能完成特定的效果。但是给你一个新任务，你是否能快速过滤出想要的数据包呢？ 使用演示 添加一条自定义的抓包规则 选择自定义的抓包规则 技巧_只抓协议头部参数的抓包过滤器 抓包过滤器语法规则解释 语法规则图示： 名词解释： Protocol（协议） 常用值: ether 、 fddi 、 ip 、 arp 、 rarp 、 decnet 、 lat 、 sca 、 moprc 、

Wirshark使用的关键就在于过滤出想要的数据包，下面介绍怎么过滤。 抓包过滤器 Wirshark有两种过滤器，一个是抓包过滤器，一个是显示过滤器，他们之间的 区别 在于 抓包过滤器 只抓取你设置的规则，同时丢弃其他信息， 显示过滤器 并不会丢弃信息，只是将不符合规则的数据隐藏起来而已。有时候一旦数据包被丢弃，这些数据包就无法在恢复回来。还有一个区别就是，捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。 两种过滤器的目的也是不同的： 捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。 显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。 说完区别，他们也是有 共同点 的，就是都遵循BPF语法。看到这里，你可能大概就能知道wireshark的套路了，想用好他，过滤是关键，下面只是介绍了两种过滤的流程，跟着步骤，谁都能完成特定的效果。但是给你一个新任务，你是否能快速过滤出想要的数据包呢？ 使用演示 添加一条自定义的抓包规则 选择自定义的抓包规则 技巧_只抓协议头部参数的抓包过滤器 抓包过滤器语法规则解释 语法规则图示： 名词解释： Protocol（协议） 常用值: ether 、 fddi 、 ip 、 arp 、 rarp 、 decnet 、 lat 、 sca 、 moprc 、

这是作者的网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文分享了利用永恒之蓝漏洞加载WannaCry勒索病毒，实现对Win7文件加密的过程，并讲解WannaCry勒索病毒的原理。这篇文章将讲解宏病毒相关知识，它仍然活跃于各个APT攻击样本中，本文包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。基础性文章，希望对您有所帮助。 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.什么是宏 1.基础概念 2.安装配置 3.录制新宏案例 二.宏病毒 1.宏病毒基础 2.自动宏案例 3.宏病毒感染 三.宏病毒的自我保护与防御 四.案例：CDO自发邮箱 五.案例：QQ发送信息 六.APT攻击中的宏病毒 1.OZ鱼叉邮件 2.酒店行业鱼叉邮件 3.研究机构鱼叉邮件 七.总结 PS：本文参考了github、安全网站和参考文献中的文章（详见参考文献），并结合自己的经验和实践进行撰写，也推荐大家阅读参考文献。

这是作者的网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您们喜欢，一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒，并实现对Win7文件加密的过程，但过程较为复杂，为什么不直接利用永恒之蓝呢？所以，这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell，再上传勒索病毒进行实验复现，并详细讲解WannaCry勒索病毒的原理。基础性文章，希望对您有所帮助。 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.WannaCry背景 二.WannaCry实验复现 1.实验环境搭建 2.Kali利用MS17-010反弹Shell 三.防御措施 四.WannaCry病毒分析 1.母体程序mssecsvc.exe行为分析 2.tasksche.exe行为分析 3.@WanaDecryptor@.exe程序分析 五.WannaCry病毒检测 六.总结 PS：本文参考了github、安全网站和参考文献中的文章

前言 关于抓包我们平时使用的最多的可能就是Chrome浏览器自带的Network面板了（浏览器上F12就会弹出来）。另外还有一大部分人使用Fiddler，Fiddler也是一款非常优秀的抓包工具。但是这两者只能对于HTTP和HTTPS进行抓包分析。如果想要对更底层的协议进行分析（如TCP的三次握手）就需要用到我们今天来说的工具Wireshark，同样是一款特牛逼的软件，且开源免费自带中文语言包。 安装和基本使用 Wireshark开源地址： https://github.com/wireshark/wireshark Wireshark下载地址： https://www.wireshark.org/download ，这里有它的历史版本。今天我们就来安装最新版本3.2.0，一路默认“下一步”安装大法就可以了。安装好后默认就是中文版。 开始抓包 显示过滤器 你会发现第一部分内容跳到非常快，根本没法找到自己想要分析的内容。这里我们可以使用显示过滤器，只显示我们想要看的内容。 在显示过滤器填入 http.request.method == "GET" ,然后用Chrome浏览器访问 http://fanyi-pro.baidu.com/index （特意找的一个http网站） 除了过滤Get请求外，常用的显示过滤器还有： tcp、udp 前者表示只显示tcp，后者表示只显示udp。也可以