wireshark

抓包应该是每个技术人员掌握的基础知识，无论是技术支持运维人员或者是研发，多少都会遇到要抓包的情况，用过的抓包工具有fiddle、wireshark，作为一个不是经常要抓包的人员，学会用 Wireshark就够了，毕竟它是功能最全面使用者最多的抓包工具。 Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵的，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。 wireshark的官方下载网站： http://www.wireshark.org/ wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。 wireshark是开源软件，可以放心使用。 可以运行在Windows和Mac OS上。 Wireshark不能做的

概述 https是加密过的应用层协议，如果直接使用wireshark抓包，抓到的信息解析不出来，我们也看不懂，密钥信息浏览器都知道的，以Linux下的谷歌浏览器为例，如何让wireshark可以解析出https。 具体做法 首先设置一个环境变量，然后新建此文件，注意该文件的权限问题。 SSLKEYLOGFILE="/tmp/sslkeylog.txt" 环境变量可以设置在/etc/profile或者用户下的配置文件中，如果是写在了用户目录下，需要命令行中启动浏览器，应该是因为安装浏览器是全局安装的，所以不会检查用户的环境变量。SSLKEYLOGFILE是浏览器提供的一个功能，可以把通信中的SSL信息写入到此文件中。 接着设置wireshark，在编辑--首选项--协议里找到SSL或者TLS协议，有个(Pre)-Master-Secret log filename选项，浏览到刚刚新建的文件夹下，如果需要的话，可以再设置一下debug file，查看解密情况。此时，再用wireshark抓包，就可以看到https的通信了。 参考链接 如何用 wireshark 抓包 TLS 封包 SSL/TLS协议详解 来源： https://www.cnblogs.com/python-dd/p/12643197.html

在使用wireshark抓包的时候，文本信息还好，但是遇到二进制的信息时，就需要对指定的字节信息进行过滤来找到你想要找的包了 tcp [ 20:4 ] ＝＝30:30:30:30 代表的意思是，TCP数据报文中，出掉头部的２０字节，之后的4个字节的数据为 ` 30:30:30:30 ` 点赞 收藏 分享 文章举报 Achou.Wang 博客专家 发布了370 篇原创文章 · 获赞 153 · 访问量 34万+ 他的留言板 关注 来源： oschina 链接： https://my.oschina.net/u/4352811/blog/3216120

抓包概念大比较：数据报、数据包、分组 数据报、数据包和分组是常见的三个概念。他们是否一样？如果不一样，他们差别在哪里？下面依次说明这三个词。大学霸IT达人 1.数据报：当应用程序按照协议格式构建好要发送的数据。这时的数据称为数据报文，简称数据报。特点是数据还没有发送。 2.数据包：数据报在发送的时候，会根据网络要求，进行特定处理，如IP分片、TCP分片。这时的数据是实际发送的数据，被称为数据包。 3.分组：它是Wireshark专有说法。Wireshark抓到实际传输的数据包，会进行额外的处理，如将分片包进行重组，并在最后一个分片包中显示重组的数据。所以此时的分组不一定是实际传输的数据。 打个比喻：你要给你老婆快递20斤苹果。按照规范格式，苹果都放到一个纸箱中，并写好收发人信息。这叫数据报。快递公司拿到件后，说20斤太重，只能每个包裹5斤。快递公司重新打包，并发走。这叫数据包。你老婆收到快递后，拿出所有的苹果一称，发现分量足，没问题。这是分组。 所以，这三个概念侧重点不同。大家要根据情况，及理解场景，选择正确的说法，进行表达和理解。 来源： oschina 链接： https://my.oschina.net/u/4339343/blog/3220685

来源： https://www.cnblogs.com/hutao0810/p/12637417.html

来源： https://www.cnblogs.com/georgexu/p/10909832.html

转载 http://openmaniak.com/cn/wireshark_use.php 捕捉过滤器 ：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器 ：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 两种过滤器使用的语法是完全不同的。 1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的 TCPdump 。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。 语法： Protocol Direction Host(s) Value Logical Operations Other expression 例子： tcp dst port 80 and tcp dst port 90 Protocol（协议） 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向） : 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地，则默认使用 "src or dst" 作为关键字。 例如，"host 10.2.2.2"与

抓取指定IP地址的数据流: 如果你的抓包环境下有很多主机正在通讯，可以考虑使用所观察主机的IP地址来进行过滤。以下为IP地址抓包过滤示例： host 10.3.1.1：抓取发到/来自10.3.1.1的数据流 host 2406:da00:ff00::6b16:f02d：抓取发到/来自IPv6地址2406:da00:ff00::6b16:f02d的数据流 not host 10.3.1.1：抓取除了发到/来自10.3.1.1以外的所有数据流 src host 10.3.1.1：抓取来自10.3.1.1的数据流 dst host 10.3.1.1：抓取发到10.3.1.1的数据流 host 10.3.1.1 or 10.3.1.2：抓取发到/来自10.3.1.1，以及与之通讯的所有数据流，与10.3.1.2，以及与之通讯的所有数据流 host www.espn.com：抓取发到/来自所有解析为www.espn.com的IP地址的数据流 ip.addr == 10.2.2.2 抓取指定IP地址范围的数据流: 当你需要抓取来自/发到一组地址的数据流，可以采用CIDR(无类别域间路由，Classless Interdomain Routing)格式或使用mask参数。 net 10.3.0.0/16：抓取网络10.3.0.0上发到/来自所有主机的数据流(16表示长度) net 10.3.0

Wireshark过滤规则使用 一、 MAC地址过滤 命令汇总： eth.addr==20:dc:e6:f3:78:cc eth.src==20:dc:e6:f3:78:cc eth.dst==20:dc:e6:f3:78:cc 1、根据MAC地址进行筛选 使用命令：eth.addr==20:dc:e6:f3:78:cc 命令解说：筛选出MAC地址是20:dc:e6:f3:78:cc的数据包，包括源MAC地址或者目的MAC地址使用的是20:dc:e6:f3:78:cc的全部数据包。 2** 、根据源MAC **地址筛选 使用命令：eth.src==20:dc:e6:f3:78:cc 命令解说：筛选出源MAC地址是20:dc:e6:f3:78:cc的数据包 3** 、根据目的MAC **地址筛选 使用命令：eth.dst==20:dc:e6:f3:78:cc 命令解说：筛选出目的MAC地址是20:dc:e6:f3:78:cc的数据包。 二、 IP地址过滤 ip.addr==192.168.1.122 //根据IP地址筛选，包括源ip或者目的IP ip.src==192.168.1.122 //根据源IP地址筛选 ip.dst==192.168.1.122 //根据目的IP地址筛选 1** 、根据IP **地址进行筛选 使用命令：ip.addr==192.168.1.122 命令解说

《网络攻防实践》第五周作业 一、前言 这个作业属于哪个课程： https://edu.cnblogs.com/campus/besti/19attackdefense 这个作业的要求在哪里： https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10553 我在这个课程的目标是：学习网络攻防相关知识，提升专业技能 这个作业在哪个具体方面帮助我实现目标：学习TCP/IP网络协议攻击的原理和实践 二、知识点总结 1.网络协议攻击及其基本概念 学习网络安全、信息安全首先应当铭记心中的是五大安全属性：机密性，完整性，可用性、真实性和不可抵赖性。我们所有的攻击或者防守都是围绕这五大安全属性来展开的。那么作为攻击方来说，通常有以下几种攻击模式： 截获：以嗅探与监听技术为基础的被动攻击模式，获取网络通信双方的通信信息内容。 中断：以拒绝服务技术为基础的主动攻击模式，使网络通信和会话无法进行。 伪造：以欺骗为基础的主动攻击模式，假冒网络通信方的身份，欺骗通信对方达到恶意目的。 篡改：包括数据包篡改，中间人攻等技术的击主动攻击模式，网络通信工程的信息内容进行篡改，使得通信一方或双方接收到虚假消息。 但是作为一个攻击者，我们还缺少了安全缺陷，有了安全缺陷，我们才可以实施攻击。通常有以下几种TCP/IP网络协议栈安全缺陷与攻击技术: