wireshark网络流量抓取分析神器,需要学习一些常用的数据包过滤规则。
IP过滤:
ip.addr==192.168.1.1 只要包中的ip有192.168.1.1的就会提取过来
ip源地址:ip.src==192.168.1.1
ip目标地址:ip.dst==192.168.2.101
端口过滤:
tcp.port==80选取所有端口是80的tcp包,不管是源端口还是目的端口
tcp.srcport == 80 选取源端口为80的tcp包
tcp.dstport ==80抓取目的端口为80的tcp包
udp.port==80选取所有端口是80的udp包,不管是源端口还是目的端口
udp.srcport == 80 选取源端口为80的udp包
udp.dstport ==80抓取目的端口为80的udp包
协议过滤:
http、tcp、udp、ICMP、arp
连接符号:and & ;or ||
三次握手:
数据段:传输层
数据包:网络层
数据帧:链路层
封包详细信息:
Frame:数据帧
Encapsulation type: Ethernet(1) 封装类型
捕获时间
时间戳
帧序列号
帧长度
捕获长度
Ethernet II
以太网帧头部信息
目标MAC
源MAC
IP类型
IPV4网络层IP头部信息
版本
IP头部长度
差分服务字段
总长度
标志位:用来分组,给分片的数据包标记用的
标记位:用来确定后续是否有切片以及决定是否分片
TTL
上层协议:TCP
头部校验和
源IP
目标IP
TCP传输层头部信息:
源端口
目标端口
序列号
确认号
标记
窗口大小
校验和
HTTP协议部分:
请求方式
请求头(host/ua/ct)
请求内容(post方式)
状态码
响应头(date/server/set-cookie/ct/)
响应内容(html+css+javasrcip)