wireshark

HCL 　　 HCL是H3C目前官方唯一出品的模拟器，整个产品的界面设计和性能比行业的其他H3C模拟器都要强大。华三云实验室（H3C Cloud Lab，简称HCL）是一款界面图形化的全真网络模拟软件，用户可以通过该软件实现H3C公司多个型号的虚拟设备的组网，是用户学习、测试基于H3C公司Comware V7平台的网络设备的必备工具。 一、设置HCL与 Wireshark的关联 　　 1、要使用Wireshark抓取HCL的数据包，当然是需要先安装Wireshark。 　　2、在HCL模拟器设置项，设置Wireshark的安装路径。 二、使用 Wireshark抓包应该注意的问题 　　1、对于需要抓取HCL设备上某接口的数据包，应该注意，直接运行 Wireshark， 然后 刷新即可，不需要设置抓取的网卡，不然抓不到包，Wireshark的窗口左侧会显示是哪个设备的端口 。 　　 　　 2、经测试路由器做了HDLC，使用Wireshark也是抓不到数据包的，这有点遗憾，这点估计得H3C公司对HCL进行更新才行了。 来源： https://www.cnblogs.com/PBDragon/p/12528227.html

过滤器的区别 捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器（DisplayFilters）：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 那么我应该使用哪一种过滤器呢？ 两种过滤器的目的是不同的。 捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。 显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。 两种过滤器使用的语法是完全不同的。 捕捉过滤器 语法： Protocol Direction Host(s) Value Logical Operations Other expression 例子： tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128 Protocol（协议）: 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向）: 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地，则默认使用 “src or dst” 作为关键字。

教材学习内容总结 第四章 网络嗅探与协议分析 网络嗅探（Sniff） 利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的的用户账户密码或私密信息等。实现网络嗅探技术的工具称为网络嗅探器(sniffer)，嗅探器捕获的数据报文是经过封包处理后的二进制数据，因而还需要结合网络协议分析技术来解析嗅探到的网络数据。 网络嗅探技术与工具分类 按照所监听的链路层网络进行分类 无线嗅探器（Kismet） 有线嗅探器 (tcpdump) 区别：无线嗅探器可以读取和分析符号如IEEE802.11等无线传输协议的数据包 按照实现形式 软件嗅探器：不同操作系统上的应用软件，通过对网卡编程实现 硬件嗅探器：通过专用软件对网络数据进行捕获和分析，协议分析仪，速度快、成本高 1.共享式网络与交换机网络中的嗅探 MAC地址洪泛攻击 MAC欺骗 ARP欺骗 2.类Unix平台的网络嗅探技术实现 通过内核态的BPF和用户态的libpcap抓包工具库实现。 3.windows平台的网络嗅探实现技术 通过内核态的NPF与用户态的Winpcap实现。 网络嗅探器软件 类Unix平台的网络嗅探软件：libpcap抓包开发库、tcpdump以及wireshark； Windows平台网络嗅探器软件：wireshark、SnifferPro、Buttsniffer、NetMon等。 网络协议分析

某厂面试归来，发现自己落伍了！>>> 开篇 本文通过一个真实案例，讲明端口选取的重要性！！！ 没事别 TM 随意选端口～～～，嫌麻烦可以直接看文末总结！ 项目背景 如下图所示，有三个 web 应用互相通过 http 协议进行通信。 项目基于 python 的 flask web 框架开发，http 接口请求用的第三方的 requests 模块。 测试环境如下： Server 1 【172.16.10.128】 app1 - > port 6666 app2 - > port 6667 Server 2 【172.16.10.126】 app3 - > port 5001 问题 通过查看日志，以及最终执行效果，已经可以确认三者都能正常接收发 http 消息。 其实一般到此我们会认为三者之间的通信已经没什么问题了。 但是！！！ 我们的最终测试结果还是需要通过网络抓包来确认。 然而，当使用 wireshark 分析抓取的网络数据包时，发现部分请求和响应数据包都被分片了，而且HTTP 协议被解析成了 IRC 协议 。 如下图所示： 这部分解析错的数据都是源于 126 机器的5001 端口发送给 128 的 6667 端口， 而其他请求都是能正常的解析的。 此时，头上就出现了一堆问号。。。。 因为自己本身没学过计算机网络，只懂得三次握手，四次挥手这些个，还是从面试题中学的

一：前言 域名系统（DNS）是最重要的互联网协议之一，因为它是总所周知的黏合剂，把域名转换为IP地址。当我们想要和一台网络设备通信却不知道它的IP地址，可以使用它的域名来进行访问。 DNS服务器存储了一个有着IP地址和DNS名字映射资源记录的数据库，并将其和客户端以及其他DNS服务器共享 由于DNS服务器的结构很复杂，因此我们只关注于通常类型的DNS流量 二：DNS数据包结构 事务ID、标志、问题计数、回答资源记录数、权威名称服务器计数、附加资源记录数，这6个字段是DNS的报文首部，共12个字节 整个DNS格式主要分为3部分内容，级基础结构部分、问题部分、资源记录部分 基础结构中的标志字段又分为若干个字段，如下图 事务ID（Transaction ID）：用来对应DNS查询和响应的过程 QR（Query / Response）：指明数据包是DNS查询还是DNS响应 操作码（Opcode）：用来定义消息中请求的类型 权威应答（Authoritative Answer，AA）：如果数据包设定了这个值，说明该响应是由域名内权威域名服务器发出的 截断（Truncation，TC）：指明这个响应由于太长，无法装入数据包被极端 期望递归（Recursion desired，RD）：如果在请求中设定了这个值，说明DNS客户端在目标域名服务器下不含有所请求信息的情况下，要求进行递归 可用递归

笔记-网络-抓包-wireshark 1. 开始 环境：win8笔记本，无线网 1.1. 无线网卡设置 因为需抓捕无线网卡上的数据包，需要进行一项设置，如捕获有线网卡，无需设置。 打开wireshark菜单项“Capture”》 “Capture Options”； 打开混杂模式选项。 原因：如果不进行该设置无法捕获数据包，原因是无线网络不同于有线网络,无线采用CSMA/CA的方式，属于半双工，不能同时发送和接收。而在有线网卡中传输的数据包都可以直接捕获，无须将网卡设置为混杂模式。 大部分无线网卡不支持混杂模式，支持混杂模式的无限网卡价格不菲。 混杂模式：属于网络术语，代表网卡是否仅接收目标是本机的数据包。在混杂模式下，可以监听到局域网中所有数据包。 2. 使用 2.1. 简单的使用及保存 wireshark>>捕获>>开始，就开始捕获数据包了。 文件》保存可以保存捕获数据为文件。 2.2. 过滤器 过滤器有两种： capturefilters：决定捕捉什么样的数据包，在开始捕捉前设置； displayfilters：由逻辑表达式决定窗口显示捕捉结果的部分内容，可任意修改而不影响捕获的数据。 2.3. 过滤规则 2.3.1. 过滤ip ip.src == 192.168.1.107 or ip.dst == 192.168.1.107 ip.addr eq 192.168.1

1: 先装这个WinPcap.(如果电脑中没有这个软件要先装，否则不用装） 2： 安装wireshark.装完之后。会产生WiresharkPortable文件夹。该文件夹内，有WiresharkPortable.exe 这个exe就是抓包软件。 简单使用方法 1：打开WiresharkPortable.exe 2： 会看到 ,几个选项 Cisco remote capture Random packet generator SSH remote capture UDP Listener remote capture 如果没有：无线网络连接几个字，说明没有识别到网卡。 解决办法： 1： 开始--》cmd, 右键选择管理员身份打开 2：输入 net start npf。如果现实 服务已经开启，则表示正常。会看到‘无线网络连接”几个字了。 如果还是不行：安装 WinPcap。 安装完之后，安照上面的12步骤做一遍。 如何抓网络包？ 1： 打开WiresharkPortable.exe， 然后界面下方，看到 本地连接。（注意如果有好几个网卡，那么可能会显示好几个连接，此时需要选择一个自己想捕获的网卡） 2： 在自己想捕获的本地连接上面，右键选择 “start capture”。软件会开始捕获数据。此时会看到许多数据流。 3：点击停止捕获按钮。 文件--》另存为 。在文件名那里输入名字

6308人阅读 以下内容主要是引用自合天网安中的一个实验案例：黑客A通过ARP欺骗，使用Wireshark获取了整个局域网内的网络流量信息。无意之中，他发现有人在某个网站上上传了一份文件。但是他不知道怎么样通过Wireshark去还原这份文件，没办法，他将监听到的数据包保存为了一份Wireshark的监听记录，打算去向你请教。你能帮助他找到那份上传的文件吗？ 我们可以自己准备一张图片test.jpg，并随便找一个允许上传的网站，然后用Wireshark将上传的过程抓包，这里我已经将自己的抓包结果保存成文件catchme.pcapng，并在附件里提供下载。 打开抓包文件之后，会发现数据记录一共有344条。如果单纯的从开始到结尾去一条一条的审计，是非常费力的事情。 这里我们使用显示过滤器进行过滤，由于上传文件采用的是HTTP协议，因而使用过滤规则“http”，过滤之后发现数据包由原来的344个变成了137个，这样就很容易帮我们分析了。仔细分析，我们会在第209条数据包的info中看到upload这个词，我们怀疑这条就是涉及到上传的数据包。 由于上传文件都是采用POST方法，因而我们也可以使用过滤规则“http.request.method==POST”进行更精确的过滤，这时就只有47个数据包了。因而掌握数据包过滤，是熟练掌握Wireshark的必备技能之一。

Wireshark分析器分析数据流过程 分析包是 Wireshark 最强大的功能之一。分析数据流过程就是将数据转换为可以理解的请求、应答、拒绝和重发等。帧包括了从捕获引擎或监听库到核心引擎的信息。 Wireshark 中的格式由成千上万的协议和应用程序使用，它可以调用各种各样的分析器，以可读的格式将字段分开并显示它们的含义。下面将介绍详细分析 Wireshark 的包信息。 例如，一个以太网网络中的主机向 Web 网站发送 HTTP GET 请求时，这个包将由五个处理器进行处理。分别如下所示： 1. 帧分析器 帧分析器用来检测和显示捕获文件的基本信息，如每个帧的时间戳，如图 2.14 所示。然后帧分析器传递帧给以太网分析器。 图 2.14 帧分析器 从该界面可以看到第 5 帧中的一些基本信息。例如，帧的编号为 5 （捕获时的编号），帧的大小为 268 个字节，帧被捕获的日期和时间，该帧和前一个帧的捕获时间差以及和第一个帧的捕获时间差等。 2. 以太网分析器 以太网分析器用来解码、显示以太网帧（ Ethernet II ）头部的字段、字段类型的内容等。然后传递给下一个分析器，也就是 IPv4 分析器。如图 2.15 所示，该字段类型值为 0x0806 ， 0x0806 表示是一个 IP 头部。 图 2.15 以太网分析器 从该界面可以看到在以太网帧头部中封装的信息，包括发送方的源

Wireshark分析非标准端口号流量 2.2.2 分析非标准端口号流量 Wireshark分析非标准端口号流量 应用程序运行使用非标准端口号总是网络分析专家最关注的。关注该应用程序是否有意涉及使用非标准端口，或暗中想要尝试通过防火墙本文选自 WireShark数据包分析实战详解清华大学出版社 。 1. 分配给另一个程序的端口号 当某数据包使用非标准端口上，如果被 Wireshark 识别出是使用另一个程序，则说明 Wireshark 可能使用了错误的分析器，如图 2.19 所示 本文选自 WireShark数据包分析实战详解清华大学出版社 。 图 2.19 使用非标准端口 从该界面 Packet List 面板中的 Info 列，可以看到显示了 NetBIOS 的信息。但正常的 NetBIOS 流量看起来不是这样的。当 Info 列的端口区域显示 netbios-ns 时， Protocol 列显示的都使用的是 TCP 协议。此时查看该文件，发现 Info 列不包含正常的 NetBIOS 名称服务细节。 2. 手动强制解析数据 Wireshark分析非标准端口号流量 手动强制解析数据有两个原因，分别如下： q Wireshark 使用了错误的解析器，因为非标准端口已经关联了一个分析器。 q Wireshark 不能为数据类型启动解析器。 强制解析器解析数据，右键单击在