wireshark笔记(1)

wiireshark文件恢复

监听文件上传

由于文件上传属于http 先从搜索框过滤http   

上传文件一般始于POST请求，查看包细节之后，会发现他的文件由于比较大，TCP会进行切片

由此判定是否为文件

 

 

 使用winhex转换为16进制，仔细观察有0D 0A 0D 0A   换行符转换为16进制就是0D 0A 0D 0A 

把这段字符上面和下面的全部删除  两个0D 0A 0D 0A之间的是文件全进制信息，单独出来打开之后则是一个完整的图片

 

 

可以直接搜索相关规则的包

 

 

 

 

 

 

保存被单独抓出来的包

 

 

 

 

 

 

 

 

 

ARP缓存，

假如你刚加入这个网络，本机会以广播方式传播ARP请求，

缓存区查看是否有 有的话直接连接，没有的话接受请求，返回包