Wireshark网络流量抓取分析器,需要学习一些常用的数据包过滤规则
IP过滤
ip.addr==192.168.1.1 只要包中的ip有192.168.1.1的全部提取
IP源地址: ip.src==127.0.0.1
IP目标地址:ip.dst==xxx.xxx.xx.x
查询多个条件用&连接
端口过滤
tcp.port==80 选取所有端口是80的包,不管是源端口还是目的端口 tcp协议
tcp.dstport==80 找目标端口是80的包 tcp协议
tcp.srcport==80 找源端口是80的包 tcp协议
udp.port==21 找包含端口21的所有udp包
udp.srcport==53 找源端口是53的udp包
udp.dstcport==53找目标端口是53的udp包
协议过滤
http
tcp
udp
icmp
arp
HTTP模式过滤
http.request.method==”POST”
http.request.method==”GET”
数据段 传输层
数据包 网络层
数据帧 链路层
封包详细信息
Frame 数据帧
封装类型
捕获时间
时间戳
帧序列号
帧长度
捕获长度
Ethernet II 以太网帧头部信息
目标MAC
源MAC
IP类型
IPv4网络层头部信息
版本
IP头部长度
差分服务字段
总长度
标志位:用来分组,给分片的数据包标记
标记位:用来确定后续是否有切片以及决定是否分片
窗口大小
校验和
HTTP应用层头部信息
请求方式
请求头(host/ua/cd/)
请求内容()
响应内容(HTML+CSS+JAVASCRIP)
三次握手
SYN:seq=100
SYN/ACK:seq=300,ack=101
ACK:seq=101,ack=301
四次挥手
FIN,ACK:seq=100
ACK:seq=300,ack=101
FIN,ACK:seq=500,ack=101
ACK:seq=101,ack=501