wireshark

OSI

OSI(Open System Interconnction)开放式系统互联,即人们通常说的OSI 7层模型,该模型解决了多机通信问题
从下往上

  • 1.物理层
    硬件电缆等
  • 2.数据链路层
    这一层主要是封装了底层的电子元气件的操作,为硬件提供驱动程序.数据链路层完成对数据帧格式的封装
    在这一层看数据是以帧为单位进行发送接收的,这一层的协议主要是ARP等协议
  • 3.网络层
    完成对数据的分组和转发
  • 4.传输层
  • 5.会话层
  • 6.表示层
  • 7.应用层
    综述:OSI很重要的三个概练 协议 接口 服务
    TCP/IP协议
    tcp/ip协议是对OSI的一种实现,并没有严格意义上的对应,即每一个分层都有对应的层级,tcp/ip将网络模型分为4层
    另外我们平日用得最多的也是这个协议,反正到现在也没有用过其他的,除了学院派,实用者直接搞定这个就可以了

上下到上

  • 网络接口层
    规定该层提供连接硬件的条件
  • 互联网层
    主要是ip协议,完成数据转发选路
    传输层
    规定通信协议,如是面向流的还是面向报文的。
    应用层
    引入端口号解决进程的标识
    总的来说:
    mac地址让数据知道到达那个网卡
    ip地址知道让数据知道应该走哪条路
    端口让数据知道应该是那个服务在使用

wireshark

界面
字体放大放小+-
增删改列 apply as column
修改列名 edit column details
时间格式设置:view-->time display formats
时间参考:右键--》set time references
名字解析:captuer-->option-->name resolution
数据包标记
高亮书籍包--》mark pocket
针对协议
针对会话

注释数据包
合并数据包
导出数据包
选择
标记
所有的

首选项设置

edit-->preference
设置默认打开目录
layout

抓包选项设置

抓包过滤器

  • 多文件连续保存
    分大小 分时间 轮训指定数量抓包

停止设置

包个数停止 时间 大小 文件个数

显示选项

协议百分比 数据量大时关闭

过滤器设置

过滤器语法

抓包过滤器

  • 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。

  • 语法: Protocol Direction Host(s) Value Logical Operations Other expression

  • demo:(host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

  • 针对IP地址过滤

  • 针对网段进行过滤
    not dst net 10.200.0.0/16

  • 针对协议过滤
    http
    http or telnet
    not arp !tcp

  • 针对端口
    tcp port 5000
    tcp src port 5000
    tcp dst port 5000
    src portrange 2000-2500

  • 针对长度和内容

显示过滤器

显示过滤器(DisplayFilters):用于在捕捉结果中进行详细查找。
注意在显示过滤器中等于符合要用双等号"=="

  • 针对IP地址过滤
  • 针对协议过滤
  • 针对端口
    tcp.port==5000
  • 针对长度和内容

案例
*过滤发送到某个主机,且协议里面有某号码 且请求方法为GET方式的报文内容
ip.host"135.10.xx.xx"
ip.host"135.10.xx.xx" and tcp matches "1388xxx" and http.request.method=="GET"
搜索关键字

  • contains
    操作符不能被用于原子型的字段,比如数字和ip地址。判断一个协议,字段或者分片包含一个值,允许一个过滤器搜索一串字符,其形式为字符串,或者字节,或者字节组。例如在搜索一个HTTP URL地址,可以使用下面的过滤器: http contains "http://www.wireshark.org"
    TCP数据中包含有连续的数据:0x00 00 02 00 00 00 00 01 写法为:tcp contains 00-00-02-00-00-00-00-01
    还可以用data表达:data contains a7-d8-c1
  • matches
    操作符允许一个过滤器使用与Perl兼容的正则表达式(PCRE)。 操作符只能应用于协议或者字符串类型的协议字段。例如:搜索一个给定的wAP WSP User-Agent,你可以这样写过滤器:
    wsp.user_agent matches "(?i)cldc" ip.host=="135.10.51.51" and tcp matches "13885081259"
  • exist
    判断协议是否存在该字段
posted @ 2015-12-03 13:16  轮子手  阅读(275)  评论(0)    收藏  举报