❶ 如何過濾wireshark重傳包
過濾源ip、目的ip。在wireshark的過濾規則框Filter中輸入過濾條件。如查找內目的地址容為192.168.101.8的包,ip.dst==192.168.101.8;查找源地址為ip.src==1.1.1.1;
埠過濾。如過濾80埠,在Filter中輸入,tcp.port==80,這條規則是把源埠和目的埠為80的都過濾出來。使用tcp.dstport==80隻過濾目的埠為80的,tcp.srcport==80隻過濾源埠為80的包;
協議過濾比較簡單,直接在Filter框中直接輸入協議名即可,如過濾HTTP的協議;
http模式過濾。如過濾get包,http.request.method=="GET",過濾post包,http.request.method=="POST";
連接符and的使用。過濾兩種條件時,使用and連接,如過濾ip為192.168.101.8並且為http協議的,ip.src==192.168.101.8 and http。
❷ wireshark 和 charles,burpsuite的區別
TcpIP協議,HTTP,DNS 實戰:基於wireshark與BurpSuite抓包分析
使用 wireshark 前的基本配置
磨刀不誤砍柴工。為了高效率的利用 wireshark 來幫助我們分析,學習網路協議,以及故障排除,需要對其進行一些使用前配置,大致內容如下:
1。將數據包摘要列表(packet list)中的「time」列的精度調整為 1 毫秒。
默認情況下,wireshark 的時間顯示精度為 1 納秒,但是在現實環境中通常用不到如此高的精度,一般用於評估站點響應速度,用戶體驗的性能指標,精確到毫秒級別就足夠了,而且納秒會多顯示小數點後 6 位數字,造成數據包摘要列表中的顯示空間的浪費。具體設置方法如下圖:
2。根據應用場景選擇時間列的顯示格式。默認情況下,以抓取到的第一個數據包的時間為參考點,後續的數據包的抓取時間都是相對開始抓包(第一個)的時點計算的。但是在某些場景中,需要將顯示格式調整為:與上一個抓取到的數據包的時間差,也就是相鄰2個數據包的抓包時間間隔。
我們知道,某些網路應用,如即時通信,會議軟體的視頻,音頻流量等,對於數據包的連續發送或接收時間間隔,非常敏感,如果相鄰2個或多個包的間隔時間太長,就會造成應用的畫面和聲音延遲,一個更明顯的例子是網路游戲的「卡」現象,由於收發包的間隔過長導致聲音與畫面的不一致和連續性問題。(通常與兩端通信鏈路的負載和其中路由器的負載過高,導致丟包而引發的 TCP 分段重傳有關)
這個時候,顯示時間間隔就非常有用,可以對當前網路的穩定性,流暢性進行快速的檢視,具體配置方法如下圖:
3。修改並導出 wireshark 的默認數據包著色識別規則。通過數據包著色功能,用戶可以迅速定位感興趣的數據包分析,但是默認的著色規則太復雜,導致啟用色彩識別時,一個包列表中顯示「五顏六色」的信息,分散了我們的注意力,通常情況,我們僅對一種或兩種類型的數據包感興趣,或者進一步講,我們每次只需要標識一種或兩種類型的數據包顏色,這就需要修改其默認著色規則,具體配置方法參考下圖:
依序選擇菜單欄的「View」,「Coloring Rules」,打開配色規則對話框:
4。自定義數據包列表的顯示列。默認的顯示列從左至右依序為:數據幀編號,抓取時間,源地址,目標地址,協議,數據包(幀)長度,摘要信息。
在實戰場景中,這些列提供的信息可能不夠,例如,我想要快速瀏覽每個包的 IP 分組頭部的生存期(TTL)欄位值,而且不用在每個包的詳細結構窗口(packet details)中查找該欄位,以便節省時間,可以按照下圖操作:
依序選擇菜單欄的「Edit」,「Preferences」,打開首選項對話框:
5。根據實際需求配置 wireshark 的名稱解析功能。
依序選擇菜單欄的「Edit」,「Preferences」,切換到首選項對話框中的「Name Resolution」標簽,參考下圖解說進行配置:
通常只需要保持默認的不解析鏈路層,網路層地址以及傳輸層埠號即可,但是有些時候就需要開啟相應的解析功能,還是那句老話:具體情況具體分析。上圖中沒有解釋到的名稱解析剩餘的配置選項部分,各位可以自行研究。
6。隱藏 wireshark 主用戶界面的數據包位元組窗口(Packet Btyes)
默認的用戶界面布局中,窗口被分隔成為3部分:數據包列表,數據包結構(詳情),以及數據包位元組,後者以16進制的位元組顯示數據包內容,通常是我們不必關心的,除非你有某種特殊的需求要修改原始的數據包;否則可以隱藏位元組窗口,釋放額外的顯示空間。依序選擇「View」,取消勾選「Packet Bytes」即可。
7。wireshark 中與 IPv4 協議相關的配置參數
配置各種協議的參數,實際上就是改變 wireshark 對該協議數據包的「捕獲」與「呈現」方式。要配置 IPv4 協議,依序選擇菜單欄的
「Edit」,「Preferences」,展開首選項對話框中的「Protocols」標簽,定位到「IPv4」子標簽。參考下圖解說進行配置:
下面來比較一下,對於同一個數據包的 IP 分組頭部的 ToS 欄位,wireshark 用舊的服務質量標准(服務類型)與用新的服務質量標准(即差異化/區分 服務)解析之間的區別,可以看出,兩者僅是對這個佔一位元組的頭部欄位中,每個比特位的解釋不同而已:
8。wireshark 中與 TCP 協議相關的配置參數
要配置 TCP 協議,依序選擇菜單欄的
「Edit」,「Preferences」,展開首選項對話框中的「Protocols」標簽,定位到「TCP」子標簽。參考下圖解說進行配置:
(由於 TCP 協議規范相當復雜,而且各種操作系統有其不同的實現,下面的每個選項不一定在所有系統上都會產生描述中預期的結果,並且這里僅對一些重要,常見的 TCP 協議特性相關的選項配置進行說明,剩餘的各位可以自行研究,理想情況下,在閱讀完《TCP/IP詳解》叢書後,應該能了解下圖中絕大多數的配置參數的含義)
❸ wireshark中的frame ethernet internet control message protocol是什麼意思
wireshark中的frame ethernet internet control message protocol是什麼意思
TCP/IP 是供已連接網際網路的計算機進行通信的通信協議。
TCP/IP(Transmission Control Protocol/Internet Protocol)已成為一個事實上的工業
標准。
TCP/IP是一組協議的代名詞,它還包括許多協議,組成了TCP/IP協議簇。
TCP/IP協議簇分為四層,IP位於協議簇的第二層(對應OSI的第三層),TCP位於協議簇的第
三層(對應OSI的第四層)。
TCP和IP是TCP/IP協議簇的中間兩層,是整個協議簇的核心,起到了承上啟下的作用。
1、介面層
TCP/IP的最低層是介面層,常見的介面層協議有:
Ethernet 802.3、Token Ring 802.5、X.25、Frame reley、HDLC、PPP等。
2、網路層
網路層包括:IP(Internet Protocol)協議、ICMP(Internet Control Message Protocol)
控制報文協議、ARP(Address Resolution Protocol)地址轉換協議、RARP(Reverse ARP)反向
地址轉換協議。
IP是網路層的核心,通過路由選擇將下一跳IP封裝後交給介面層。IP數據報是無連接服務
。
ICMP是網路層的補充,可以回送報文。用來檢測網路是否通暢。
Ping命令就是發送ICMP的echo包,通過回送的echo relay進行網路測試。
ARP是正向地址解析協議,通過已知的IP,尋找對應主機的MAC地址。
RARP是反向地址解析協議,通過MAC地址確定IP地址。比如無盤工作站和DHCP服務。
3、傳輸層
傳輸層協議主要是:傳輸控制協議TCP(Transmission Control Protocol)和用戶數據報協
議UDP(User Datagram rotocol)。
TCP是面向連接的通信協議,通過三次握手建立連接,通訊時完成時要拆除連接,由於TCP
是面向連接的所以只能用於點對點的通訊。
TCP提供的是一種可靠的數據流服務,採用「帶重傳的肯定確認」技術來實現傳輸的可靠
性。TCP還採用一種稱為「滑動窗口」的方式進行流量控制,所謂窗口實際表示接收能力,用
以限制發送方的發送速度。
UDP是面向無連接的通訊協議,UDP數據包括目的埠號和源埠號信息,由於通訊不需要
連接,所以可以實現廣播發送。
UDP通訊時不需要接收方確認,屬於不可靠的傳輸,可能會出丟包現象,實際應用中要求
在程序員編程驗證。
4、應用層
應用層一般是面向用戶的服務。如FTP、TELNET、DNS、SMTP、POP3。
FTP(File Transmision Protocol)是文件傳輸協議,一般上傳下載用FTP服務,數據埠
是20H,控制埠是21H。
Telnet服務是用戶遠程登錄服務,使用23H埠,使用明碼傳送,保密性差、簡單方便。
DNS(Domain Name Service)是域名解析服務,提供域名到IP地址之間的轉換。
SMTP(Simple Mail Transfer Protocol)是簡單郵件傳輸協議,用來控制信件的發送、中
轉。
POP3(Post Office Protocol 3)是郵局協議第3版本,用於接收郵件。
數據格式:
數據幀:幀頭+IP數據包+幀尾 (幀頭包括源和目標主機MAC地址及類型,幀尾是校驗字)
IP數據包:IP頭部+TCP數據信息 (IP頭包括源和目標主機IP地址、類型、生存期等)
TCP數據信息:TCP頭部+實際數據 (TCP頭包括源和目標主機埠號、順序號、確認號、校
驗字等)