精华内容
下载资源
问答
  • Wireshark实战之抓包MySQL Java客户端
    2018-12-07 15:52:00

    es

    转载于:https://www.cnblogs.com/qiumingcheng/p/10083371.html

    更多相关内容
  • wireshark实战

    2015-12-31 22:43:05
    还不错的一本书 wireshark很有帮助
  • Wireshark数据包分析实战数据包(第三版).rar
  • 第1篇介绍Wireshark的各项功能,包括基础知识、Wireshark的定制、捕获过滤器和显示过滤器的使用、数据包的着色、导出和重组等;第2篇介绍基于Wireshark对TCP/IP协议族中常用协议的详细分析,如ARP、IP、UDP、TCP、...
  • wireshark实战分析

    2017-01-23 17:07:25
    wireshark
  • Length长度、 info具体内容 所以这就是WireShark,WireShark要比tcpdump好用很多 这里是TCP的SYN和ACK,也就是一去一回请求握手,这就是TCP 这里我们就不作过多的讲解了 WireShark中的逻辑运算 我先看一下WireShark...

    打开控制台命令行,我这个是MAC,在Linux下是同样的

    输入sudo -i 获取权限

    紧接着输入ifconfig,我们去查看一下网卡,其中工作的是这个,你也可以看一下自己的是哪个,在我这里是en1

    输入命令抓取en1网卡的数据,

    输入src过滤,比如我这里ip地址,源是 192.168.1.6

    -xx 表示十六进制

    -Xs  X表示ACISS码 s表示全部数据

    sudo tcpdump -i en1 src 192.168.1.6 -xx -Xs 0

    这时候我们看到数据就抓到了

    这表示从192.168.1.6的IP地址,端口是50043, 到这个域名 hkg12s11-in-f10.1e100.net.https,Flags发送的内容,这是一个TCP的,它的sequence是3888877616, 窗口大小是65535, 所以的参数都在这里了,如果你对整个协议非常熟悉的话,你就知道这是什么意思

    它的十六进制实际上就是这些,还包括了头和体

    这样的话我们还可以加一个w写到test.cap,这个cap,这个.cap文件是可以用WireShark读出来的

    sudo tcpdump -i en1 src 192.168.1.6 -xx -Xs 0 -w test.cap

    这个时候就开始抓取数据,然后我们按control+C,

    输入

    ls test.cap

    使用vim打开

    vim test.cap

    我们可以看到二进制文件,什么也看不清

    我们输入

    :%!xxd

    这就表示以16进制的方式将它打开了

    输入

    :q!

    其实这样的数据我们很难看明白,但是如果我用WireShark就比较清楚了,

    我们用WireShark打开test.cap文件

    其中

    Time时间点、

    Source源、

    Destination目的地址、

    Protocol协议、

    SrcPort源端口号、

    DstPort目的端口、

    Length长度、

    info具体内容

    所以这就是WireShark,WireShark要比tcpdump好用很多

    这里是TCP的SYN和ACK,也就是一去一回请求握手,这就是TCP

    这里我们就不作过多的讲解了

    WireShark中的逻辑运算

    我先看一下WireShark包括哪些逻辑运算,这样我们就能进行各种复杂的组合了

    与或非

    与:  and 或 && 

    或: or 或 ||

    非: not 或!

    判断语句

    等于:eq 或 ==

    小于:lt 或 <

    大于:gt 或 >

    小于等于: le 或 <=

    大于等于: ge 或 >=

    不等于:ne 或 !=

    这就是WireShark基本的判断语句,有了这些之后,加上WireShark的一些过滤方法可以组合成非常复杂的过滤条件了。

    WireShark按协议过滤

    stun

    tcp

    udp

    我们打开WireShark这里包括所有的网卡

     

    如果主界面找不到网卡,我们可以点击齿轮查看详情,这里可以看到每一个网卡,选中以后,点击开始监控

    这样就能看到很多数据了,这样我们要按照协议去

    这样我们要按照协议去抓取数据,比如说输入stun协议,这时候我们是没有任何stun数据的

    大家可以打开下列网址(如果打不开你要自己想办法啊)

    https://webrtc.github.io/samples/src/content/peerconnection/trickle-ice/

    这个工具里会有一些ICE Server,大家可以点击下面的Gather candidates按钮升级所有的候选者,这时候他就会去向turn服务去发数据,这时候我本地的地址以及映射后的地址还有中继的地址都可以捕获到

    其中host表示本机地址,

    srflx表示映射的地址,映射后的地址表示本地地址出外网,映射后的地址是223.72.62.101,端口是15945,

    relay表示中继地址,39.105.185.198表示在turn服务上开通的一个中继地址,端口是50447,

    通过这几个我们就可以看的很清楚

    这个时候我们通过网络抓取可以看到很多数据

    首先我们看到一个Bingding Request,它的协议是STUN协议,点开我们可以看到Message Type就是0x0001就是Bing Request

    它有Length字段,Length是 0所以它的内容就没有,它只有一个包头,Message Cookie是2112a442,在RFC5389里面我们介绍过这个,还有一个Message Transaction ID表示事务ID,

    这是请求

    下面我们再看看响应

    也就是说从192.168.1.6我本机,目的地址是39.105.180.98向这台机子发送了一个Bingding 请求,发送的这个事务ID是4666446f 4875796a344b4754,

    这里同样的事务ID4666446f 4875796a344b4754给予了回复

    这些回复的是0x0101,并且显示成功响应,长度是68,点开Attributes,

    包括了映射地址

    我们点开Attribute Type,这里面显示内容是TLV格式,T就是代表类型,后面的长度是8,代表的是一个IP地址和端口,

    MAPPED-ADDRESS属性长度也是8, RESPONSE-ORIGIN属性也是8,一共长度就是24个字节 

    SOFTWARE是26

    24加26就是50个字节,这个26是内容,前面两个是4个字节,四四十六,这每一个都是 16,最后还有个padding 2个字节,所以这样就组成了68个字节的包体长度。

    所以大家这里就可以看到,我们此前说STUN协议的时候,发送的请求是 0x0001,响应的应该是0x0101。

    我们的TURN协议是在STUN协议之上的,所以这里我们也会看到Allocate  Request UDP,这是发送了一个分配服务的一个请求,我们记一下这里的事务ID

    我们在看响应,是同一个事务ID表示同一个会话,这个Message Type回了一个 0x0113 是个错误,0x0001是绑定请求,0x0002表示加密信息,0x0003表示Allocate,这一次是失败了。

    紧接着又发送了一次,这一次成功了

    这次回复了一个0x0103,这是一个成功的消息,所以这次在TURN服务上,就把中转服务给开通了。

    那么通过WireShark这种分析我就能将之前介绍的协议完全连在一起,说明我们的协议是没有任何问题的。

    当然也可以抓取TCP协议或者UDP协议 ,直接在WireShark上面写就可以了。比如我们抓取一些udp

    输入栏显示绿色表示抓取条件是对的,红色表示抓取条件是错误的

    我们用的STUN协议、DNS都是UPD的,如果我们输入TCP,那些显示STUN的那些都没有了。

    这是按协议过滤。

    WireShark按IP过滤

    ip.dst == 192.168.1.2

    ip.dst表示过滤是目的ip,也就是发到192.168.1.2的

    ip.src == 192.168.1.2

    表示源ip,表示发送端是192.168.1.2

    ip.addr == 192.168.1.2

    ip.addr表示指定ip,不管是源ip还是目的ip,只要是这个ip地址就可以过滤掉

    我们来尝试一下

    这就是按ip过滤

    WireShark按端口过滤

    按照tcp,因为端口实际是定位到应用层了,就是ip层是没有端口的,那tcp是有端口的,udp也有端口

    tcp.port == 8080

    udp.port == 3478

    udp.dtsport == 3478

    udp.dtsport表示源端口

    udp.srcport == 3478

    udp.srcport表示目的端口 

    我们尝试下

    WireShark按长度过滤

    udp.length < 30

    udp.length < 30

    http.content_length < 30

    那以上就是WireShark基本的用法。我们讲了与或非和判断语句,还有按协议、Ip、端口、长度、内容过滤,当然对内容来说就涉及到更高级的用法了。可以慢慢摸索。前面的这些只要掌握了,就可以做我们这边简单的网络数据分析了。

    我们也可以写一个组合来进行过滤,比如说

    大家可以按自己需要写各种个样的过滤条件

    这样我们就可以做各种分析,后面我们会经常用到这个 WireShark去查一下协议的数据发送。

    展开全文
  • wireshark实战——网络基础知识 1.抓包分析概述 1.抓包:捕获和解析网络上在线传输数据的过程,目的是为了更好了解网络上发生的事情 2. 数据包嗅探器:一种用于在网络媒介上捕获原始数据的工具 3. 抓包的目标 了解...

    wireshark实战——网络基础知识

    1.抓包分析概述

    1.抓包:捕获和解析网络上在线传输数据的过程,目的是为了更好了解网络上发生的事情
    2. 数据包嗅探器:一种用于在网络媒介上捕获原始数据的工具
    3. 抓包的目标

    • 了解网络特征
    • 查看网络上的通信主体
    • 确认谁或是哪些应用在占用网络带宽
    • 识别网络使用高峰时间
    • 识别可能的攻击或恶意活动
    • 寻找不安全以及滥用网络资源的应用

    4.抓包步骤
    第一步:收集,手机网络线上的二进制数据,通常把网卡渲染成混杂模式来抓包,这种模式下,网络抓取一个网段上的所有网络通信量,而不是发往它的数据包。
    第二步:转换,将捕获的二进制转化为可读形式,数据报嗅探器支持这一步
    第三步:分析,对数据包进行深入分析,识别验证他们的协议,然后分析每个协议的待定属性

    2. 网络硬件

    • 集线器:工作在物理层,转发数据时,向所有主机转发
    • 交换机:工作在数据链路层,转发数据时通过MAC表查询得到转发的目标对应的端口,实现了精准转发
    • 路由器:工作在网络层,不同接口连接着不同的网段,通过路由表实现不同网段的通信

    3.流量分类

    • 广播:把数据发到一个网段上的所有端口。FF:FF:FF:FF:FF:FF是保留的MAC广播地址,IP网络范围内最大的IP地址保留做广播地址,任何发送到这一地址的流量都会被广播到整个网段。
    • 组播:单一数据报发给多个数据包
    • 单播:端到端发送数据包
      其实广播就相当于发朋友圈昭告天下,组播就相当于把群聊,只有群里的人知道你说了什么,单播就相当于私聊,只有你私聊的对象才知道
    展开全文
  • Wireshark实战之局域网监听

    万次阅读 2017-09-24 11:03:54
    直接上手网络工程师的最爱Wireshark.它是一款本地监听数据的大杀器,弊端是只能监听本地的数据,有什么办法可以让局域网中的流量都从本机走呢?第一ARP嗅探,劫持网关,再本地抓包. 第二交换机镜像端口,在路由或者交换机...
    直接上手网络工程师的最爱Wireshark.它是一款本地监听数据的大杀器,弊端是只能监听本地的数据,有什么办法可以让局域网中的流量都从本机走呢?第一ARP嗅探,劫持网关,再本地抓包.
    第二交换机镜像端口,在路由或者交换机处设置,复制一份数据到指定机子端口.
    第三Ap一个无线,让他们连接,然后再抓包.
    第一种方法不用考虑,第二种方法因为企业级路由才有镜像端口功能,我等屌丝用的TP-LINK无这个功能.所以只能考虑第三种方法.
      首先建立一个WIFI热点,懒得用WIN7自带的虚拟WIFI功能.(PS:window 7有一个“Microsoft Virtual WiFi Miniport Adapter”功能,我理解为“虚拟WIFI”。也就是说而Windows 7 可以在一块真实无线网卡基础上再虚拟出一块无线网卡,支持网络共享,让电脑变身wifi热点。) 直接用360卫士的免费WIFI建立一个和路由发射出来的信号一模一样的热点.



       然后进入路由把原本路由的WIFI关闭.

       WIFI机制同名热点一般情况下,应该都是信号优先,也就是哪个路由信号更强,你的手机就会先连哪个.我都把路由的的WIFI关闭了,当然是我信号最强了,坐等鱼上钩…

        OK,已经来了.抓包吧,等待登录…

      还是看雪的帐号,去MD5解密撞撞运气.

      再看看有什么收获,..  截取到几条QQ   ClientKey

      再抓包查查腾讯快速登录的接口,格式如下
    腾讯首页:先登录www.qq.com再复制下面,再后退到www.qq.com 
    http://ptlogin2.qq.com/jump?clientuin=QQ号码&clientkey=key码&keyindex=9&pt_aid=636014201&u1=http%3A%2F%2Fwww.qq.com%2Fqq2012%2FloginSuccess.htm
    直接用抓到的室友的QQ号和KEY替换,登录上去


    好了,就到这吧,自娱自乐就可以了.玩过火了被室友海扁的….
    展开全文
  • Wireshark网络分析实战

    2017-12-14 11:17:17
    本书采用步骤式为读者讲解了一些使用Wireshark来解决网络实际问题的技巧。, 本书共分为14章,其内容涵盖了Wireshark的基础知识,抓包过滤器的用法,显示过滤器的用法,基本/高级信息统计工具的用法,Expert Info工具...
  • wireshark实战笔记之ICMP分析

    千次阅读 2021-04-03 14:20:14
    wireshark实战笔记之ICMP分析ICMP基础知识概述:ICMP功能ICMP报文格式各字段说明ICMP大概分为两类报文:wireshark实战分析 ICMP基础知识 概述: ICMP,全称为Internet Control Message Protocol,即为因特网控制报文...
  • WireShark实战笔记之DNS协议分析

    千次阅读 2021-04-03 20:44:37
    详细了解DNS报文格式:http://c.biancheng.net/view/6457.html WireSahrk分析DNS协议 实验环境: Windows10 WireShark 实验指令: ping www.baidu.com wireshark捕获dns包 这里捕获到四个DNS包,但是前三个dns包...
  • 实验目的:在两台虚拟机上通过nc和nccat分别建立连接,之后抓取两者通信时发送的数据包 实验准备:主机A ip:192.168.31.113 ...0.打开wireshark 抓取eth0上的数据 1.利用nc建立两台主机之间的连接 主机A nc -lp 333...
  • wireshark实战-flag被盗溯源

    千次阅读 多人点赞 2020-04-10 11:50:34
    wireshark实战-flag被盗溯源一,中国菜刀数据包制作1.中国菜刀工具2.劫持http数据包二、分析数据包方法一:三、相关预告 相关文章链接: 5分钟彻底扫除TCP/IP协议学习障碍-wirshark使用详解 wireshark 捕获过滤器...
  • wireshark实战笔记之路由跟踪(tracert)

    千次阅读 2021-04-03 16:44:01
    接上篇文章《wireshark实战笔记的ICMP分析》 路由跟踪tracert概述路由跟踪原理(tracert)实验实验一 windows下同一个路由器下的路由跟踪(一跳)实验二 Windows下 多跳的路由跟踪如何才算到达了目的地址: 概述 路由...
  • Wireshark数据包分析实战(第2版)捕获文件.rar
  • WireShark实战笔记之TCP三次握手

    千次阅读 2021-04-04 12:30:06
    1.打开wireshark,开始过滤;浏览器中访问www.baidu.com。 2.过滤出http 3.选中其中一条,右键点击选中 追踪流 > tcp流; 会得到如下图: 可以发现,这时候已经截获到了tcp三次握手的包,三次握手成功后,第四...
  • WireShark分析 1.Wireshark 过滤http 2.随便访问一个网址 3.开始分析 《post和get的区别》https://www.runoob.com/tags/html-httpmethods.html 分析POST方法: 向指定的资源提交要被处理的数据。 post的请求 1.选中...
  • 端口镜像system-vies //进入配置模式用户名:admin密码:admin(默认)[H3C]dis cu int 查看所有端口的配置[H3C] exit //退出...注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容。2号窗口...
  • 实验目的:查看客户端向DHCP服务器请求IP过程。实验资料:实验拓扑:实验步骤:...3、在客户端上使用命令ipconfig -renew获取IP,从而查看wireshark捕获数据结果,客户端获得IP,同时wireshark抓取得四个DHCP交流包:...
  • wireshaek实战中理解ARP协议ARP协议概述:MAC 地址 与 IP地址获取目的端的MAC地址(在一个以太网中)步骤如下:ARP协议工作原理wireshark实验观察ARP过程一、ARP表中已有缓存二.arp表为空的情况,目的地址为本网段 ...
  • 3 通过FTP传输文件时,若使用wireshark抓包,则相应的流量在IO graphs窗口将呈现直边梯形的趋势,在TCP graphs窗口中出现一条笔直的斜线。 4 FTP服务器向客户端发出身背TCP windows full字样的tcp报文,说明...
  • 一、Wireshark简介 本节涵盖以下内容: 安置Wireshark(主机/程序); 开始抓包; 本书的前言曾提到过网络排障以及内置于Wireshark能帮助排障的各种工具。一旦决定动用Wireshark协议分析软件,在使用之前,则有...
  • WireShark数据包实战

    2019-01-21 14:38:11
    本书从网络嗅探与数据包分析的基础知识开始,渐进地介绍Wireshark的基本使用方法及其数据包分析功能特性,同时还介绍了针对不同协议层与无线网络的具体实践技术与经验技巧。在此过程中,作者结合一些简单易懂的实际...
  • Wireshark实战分析之TCP协议(三)

    千次阅读 2015-11-26 18:32:49
    (1)捕获TCP四次挥手数据包   (2)接下来分析四次挥手的过程,第一次挥手(分析524帧,通过FIN/ACK标志确定这个客户端提出挥手的第一次)    通过第一次挥手客户端发送FIN和ACK标志,表示本次通信已经结束...
  • 文章目录1 认识Wireshark的界面1.1 初识Wireshark1.2 过滤器2 Wireshark的图形显示2.1 查看发包速度:I/O图表2.2 查看TCP往返时间2.3 数据流图:统计 -> 流量图3 Wireshark的高级特性3.1 手动修改协议类型3.2 ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,017
精华内容 1,606
关键字:

wireshark实战