wireshark:网络流量抓取分析神器,需要学习一些常用的数据包过滤规则
IP过滤
ip.addr==192.168.1.1 只要包中的IP有192.168.1.1的,就会提取过来
IP源地址:ip.src==192.168.1.1
IP目标地址:ip.dst==192.168.2.101
端口过滤:
tcp.port==80 选取所有的端口是80的包,不管是源端口还是目的端口
tcp.dstport==80 找目标端口是80的包
tcp.srcprot==80 找源端口是80的包
udp.port==21 找所有的端口是21的UDP包
udp.srcport==53 找源端口是53的UDP包
udp.dstport==52 找目标端口是53的UDP包
协议过滤:
http
tcp
udp
icmp
arp
HTTP模式过滤
http.request.method=="POST" 找http协议下的POST包
http.request.method=="GET" 找http协议下的GET包
数据段:传输层
数据包:网络层
数据帧:链路层
封包详细信息
Frame 数据帧 (注[]里面的不是主体,略过)
封装类型
捕获时间
时间戳
帧序列号
帧长度
捕获长度
Ethernet II 以太网帧头部信息
目标MAC
源MAC
IP类型
IPV4 网络层IP头部信息
版本
IP头部长度
区分服务字段
总长度
标志位:用来分组,给分片的数据包标记用的
标记位:用来确定后续是否有切片以及决定是否分片
TTL:生存时间
上层协议:TCP
头部校验和
源IP
目标IP
TCP 传输层头部信息
源端口
目标端口
序列号
确认号:期望收到对方下一个报文段的第一个数据字节的序号。
标记
窗口大小
校验和
HTTP 应用层头部信息
请求方式
请求头(host/ua/ct/)
请求内容(POST方式才有)
状态码
响应头(date/server/set-cookie/ct/)
响应内容(HTML+CSS+JS 组成的响应正文)