• WIRESHARK图像化与命令行模式


    1.筛选器
    ip.addr==192.168.88.160 and tcp.port==80
     
    !tcp 查看分tcp的协议
     
    frame.len<=150 查看长度小于等于150字节的数据包
     
    捕获tcp中带有psh和ack标志偏移位为13的的数据包
    tcp[13]==0x18
     
    将常用筛选条件到添加删选器
    分析–》显示过滤器–》+添加
     
    2.wireshark 使用表格
     
    3.wireshark 图形显示
    统计—》IO 图表
    主要用来查看大流量的趋势,比如大文件下载
     
    设置显示的筛选条件
    显示丢失、重发等异常数据包&&不显示窗口的更新数据包
    tcp.analysis.flags && !tcp.analysis.window_update
     
    统计–》tcp–》往返时间图
     
    数据流图
    查看整个交互过程
    统计–》数据流图
     
    4.wireshark 高级特性
    wireshark 基于端口进行协议解析
    加入我们修改ftp服务器的端口为443,则wireshark就会将ftp协议的流量当做ssl协议流量。
    转换协议
    单击数据包,右键选择”解码为”,更改解码类型。
     
    追踪TCP流
    右键数据包,选择follow stream(追踪流),选择TCP流。
     
    查看数据包长度
    统计–》分组长度
    我们重点关注1280—2559长度的数据包
     
    专家信息的使用
    查看数据传输的一些警告信息
    分析–》专家信息
     
     
    5.wireshark 命令行模式
    tshark 是wireshark的命令行工具
    tshark -r /root/tcp.pcap | grep -e GET 从tcp.pcap包中查找所有的GET请求
    tshark -r /root/tcp.pcap |grep -e GET | cut -d ” ” -f 8-9
     
    使用capinfos 查看cap包基本信息
    capinfos /root/tcp.pcap
     
     
    tshark -n -q -r /root/tcp.pcap -z “rpc,programs”
    -n 禁止所有名字地址解析
    -q 设置为标准的输出
    -z 设置统计参数
     
    tshark -n -q -r /root/tcp.pcap -z “smb,srt”
     
    tshark -r /root/tcp.pcap -Y “ip.addr==192.168.88.160” -w 160.pcap
     
    显示所有tcp会话信息
    tshark -n -q -r /root/tcp.pcap -z “conv,tcp”
     
    数据包拆分
    editcap tcp.pcap output.pcap -i 4 将数据包以每4秒进行拆分
     
    合并数据包
    mergecap -w he.pcap output*.pcap
  • 相关阅读:
    mac zsh
    lldb
    c++ 的整形字面值和如何确定常量类型
    Python GTK + 3教程 学习笔记 ——(7)GTK的UI设计理念
    Python GTK + 3教程 学习笔记 ——(6)gnome-tewak-tool代码学习
    c++ 一些资料
    解决github无法加载图片
    Python GTK + 3教程 学习笔记 ——(5)布局 与 glade
    wp rest api 授权方法步骤(使用JWT Authentication插件)
    解决Ionic的ion-slide-box 2条数据渲染问题
  • 原文地址:https://www.cnblogs.com/micr067/p/12407496.html
Copyright © 2020-2023  润新知