视频链接https://www.bilibili.com/video/av35336089/
目录
- 对抓取的流量包进行简单的说明
- Wireshark的捕获过滤器和显示过滤器
内容
1.对抓取的流量包进行简单的说明
这里主要是对之前抓取进行一些简单的说明
- 流量包的颜色
我们打开流量包的时候可以看到,抓取的流量包中分组的颜色可能存在差异,那么这些不同的颜色有什么含义呢?什么是分组?在数据包列表中一列就是一个分组
这时候可以在视图->着色规则中进行查看,这里就详细的写出了不同颜色代表的含义,这些都是wireshark规定好的,当然你也可以自己进行修改和添加,这里可能有部分颜色的含义看不懂如:HSRP State Change,Spanning Tree Topology Change等。这里建议可以暂时不用去管,后面我会讲。
- 查看整个流量行为
这个的意思是比如我之前流量包抓取的内容就是访问geekfz.cn产生的流量,但是在Wireshark里查看都是一列列的显示,如何查看整个通信之间的情况,我们这时候就可以先选择一个TCP的分组,然后右键->追踪流->tcp,这时候就会显示一个通信的详细数据。为什么要看详细数据呢?就我个人使用的时候而言,在分析下载病毒的时候可以从这里查看完整的数据,在对挖矿流量进行过滤检查的时候可以从这里提取到过滤规则。
2.Wireshark的捕获过滤器和显示过滤器
首先wireshark的过滤器是什么?通过一些简单的指令,可以捕获到想要的流量。比如我只想要TCP流量,那么就可以通过过滤器来获得只有TCP流量的数据包。这里仅仅介绍两个过滤器的一些基本概念,至于如何使用一些过滤函数和技巧,我们后面会讲
捕获过滤器在选择接口的时候输入条件命令,启动捕获时只捕获条件命令里的内容(不捕获条件外的封包)
显示过滤器在已经捕获到的封包里显示自己想要看到的封包(捕获条件外的封包)
