精华内容
下载资源
问答
  • wireshark+网管交换机抓包教程

    千次阅读 2019-04-12 10:28:30
    如果A和B通信,C来抓包,可以选择网管交换机设备 在浏览器输入...如果A和B通信,A或B来抓包,则直接运行A或B上的Wireshark即可。 教程很多,我就不一一粘贴了。比如: https://blog.csdn.net/u0132584...

    如果A和B通信,C来抓包,可以选择网管交换机设备

    在浏览器输入http://192.168.0.1/ 进入交换机配置,用户名密码均为admin,配置端口镜像。

    端口1和端口2之间的双向数据都会被镜像到端口5。

    如果A和B通信,A或B来抓包,则直接运行A或B上的Wireshark即可。

    教程很多,我就不一一粘贴了。比如:

    https://blog.csdn.net/u013258415/article/details/77877746

    https://blog.csdn.net/lhorse003/article/details/71758019

    展开全文
  • 最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。 0x00 华为交换机镜像设置端口...

    前言

    最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。
    端口镜像抓包原理

    0x00 华为交换机镜像设置端口抓包

    1、 全局模式下指定一个镜像端口

    observe-port 1 interface g 0/0/4 
    

    2、指定一个监测端口

    int g 0/0/5
    port-mirroring to observe-port 1 outbound
    

    inbound是服务器到内交换机的流量,outbound是交换机到服务器的流量

    3、在指定的端口上接入一台PC或者服务器,此网络口不做IP设置
    4、Wireshark抓包

    0x01 虚拟机、VLAN 设置镜像端口

    1、在交换机上设置一个监测端口,

    observe-port 1 interface G 0/0/4
    

    2、根据IP地址判断其所在的VLAN,在VLAN下配置

    int vlan 20
    mirroring to observe-port 1 inbound
    

    3、在指定的端口上接入一台PC或者服务器,此网络口不做IP设置
    4、Wireshark抓包

    0x02 Wireshark 端口抓包设置

    捕获-选项:
    ①抓包的端口开启混杂,缓存100
    在这里插入图片描述
    ②设置路径和报文大小
    在这里插入图片描述
    ③ 打开抓取30分钟后的报文文件进行病毒过滤查询

    0x03 WireShark 病毒过滤语句

    eth开头到结尾修改你的服务器信息复制到wireshark过滤器中过滤

    [高] H-WORM
    king.servemp3.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches servemp3
    
    [高] Ramnit蠕虫
    eth.addr == 做镜像的服务器MAC地址 and dns.qry.name == fget-career.com
    eth.addr == 做镜像的服务器MAC地址 and dns.qry.name == suewyllie.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches fget-career) or (dns.qry.name matches suewyllie.com))
    
    [高] WannaCry_attack
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches iuqerfsodp
    
    [高] 驱动人生后门
    beahh.com
    abbny.com
    haqo.net
    oo.beahh.com
    ii.haqo.net
    p.abbny.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches beahh) or (dns.qry.name matches abbny) or (dns.qry.name matches haqo))
    eth.addr == 做镜像的服务器MAC地址 and ((dns.qry.name matches beahh) or (dns.qry.name matches abbny) or (dns.qry.name matches haqo))
    
    [中] Andromeda僵尸网络
    buy1.*.ru
    eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches buy1) or (dns.qry.name matches morphed))
    
    [中] CryptInject木马
    v.beahh.com
    eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and dns.qry.name matches beahh
    
    [中] Crypt木马
    rl1.w7q.net
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and dns.qry.name matches w7q
    
    [中] Expiro病毒
    dewpoint-eg.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and dns.qry.name matches dewpoint
    
    [中] Mimikatz
    pp.abbny.com
    o.beahh.com
    i.haqo.net
    类似 驱动人生后门
    
    [中] Sality感染型病毒
    ilo.brenz.pl
    padrup.com
    eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches brenz) or (dns.qry.name matches padrup))
    
    [中] 其他
    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    a.diphon4egalaxyblack42.com
    a.eiphon5egalaxyblack42.com
    download.3721.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches black42) or (dns.qry.name matches 3721))
    
    [中] 飞客蠕虫
    ffwqdfvn.ws
    gtondqoj.cn
    hvvknd.ws
    mxsjffkn.cn
    sipfeakd.cn
    sjlbkdxad.cn
    tzdcquavcel.ws
    wlfih.ws
    zndujppzzmn.com
    ejhsuqt.ws
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches ws) or (dns.qry.name matches sjlbkdxad) or (dns.qry.name matches mxsjffkn) or (dns.qry.name matches sipfeakd) or (dns.qry.name matches gtondqoj))
    
    [低] 老裁缝激活工具
    w7q.net
    类似 Crypt木马
    
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches servemp3) or (dns.qry.name matches buy1))
    

    0x04 驱动人生后门&挖矿病毒手工清除代码

    @echo off
    mode con: cols=85 lines=35 & color 0a
    
    title 挖矿病毒手工清除工具
    :: 软件名称
    
    
    echo -------------------------------------------
    echo -------------------------------------------
    echo       本工具制作于2020年4月23日
    echo        请按照提示一步一步操作
    echo         操作完毕后安装防病毒           
    echo -------------------------------------------
    echo -------------------------------------------     
    
    
    :menu    
    echo.  
    echo.                            
    echo        [1] 删除病毒文件
    echo        [2] 删除病毒计划任务和病毒服务
    echo        [3] 删除注册表
    echo        [4] 删除防火墙规则
    echo        [5] 删除病毒设置的端口转发的设置
    echo        [0] 退出
    echo.
    
    :menu1
    set source=:
    set /p source=   请输入要进行操作的选项:
    set "source=%source:"=%"
    :: 上面这句为判断%source%中是否存在引号,有则剔除。
    
    if "%source%"=="0" exit
    if "%source%"=="1" goto 1
    if "%source%"=="2" goto 2
    if "%source%"=="3" goto 3
    if "%source%"=="4" goto 4
    if "%source%"=="5" goto 5
    
    :: 选择执行的操作
    echo 请输入正确代码
    goto menu1
    
    :1
    
    :: 删除病毒文件
    
    wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate
    :: 停止非正常svchost进程,并删除其文件
    
    echo 删除c:\windows\syswow64\drivers\svchost.exe
    del c:\windows\syswow64\drivers\svchost.exe /a 
    del c:\windows\system32\drivers\svchost.exe /a 
    
    echo 删除c:\windows\temp\svchost.exe
    del c:\windows\temp\svchost.exe /a 
    
    echo 删除c:\windows\syswow64\wmiex.exe
    taskkill /IM wmiex.exe /F
    del c:\windows\syswow64\wmiex.exe /a 
    del c:\windows\system32\wmiex.exe /a 
    
    taskkill /IM taskmgr.exe /F
    echo 删除c:\windows\syswow64\drivers\taskmgr.exe
    del c:\windows\syswow64\drivers\taskmgr.exe /a
    del c:\windows\system32\drivers\taskmgr.exe /a
    
    echo 删除c:\windows\syswow64\svhost.exe
    del c:\windows\syswow64\svhost.exe /a  
    del c:\windows\system32\svhost.exe /a 
     
    del c:\windows\temp\m.ps1 /a
    
    echo 病毒文件删除完毕
    
    
    goto menu
    
    
    :2
    
    :: 删除计划任务
    echo 删除计划任务Drivers
    schtasks /Delete /TN Ddrivers /F 
    echo 删除计划任务WebServers
    schtasks /Delete /TN WebServers /F 
    echo 删除计划任务DnsScan
    schtasks /Delete /TN DnsScan /F 
    echo 删除计划任务\Microsoft\Windows\Bluetooths
    schtasks /Delete /TN "\Microsoft\Windows\Bluetooths" /F 
    echo 计划任务删除完毕
    
    
    ::删除病毒服务Ddriver和webservers
    echo 删除服务Driver
    sc delete Ddriver 
    echo 删除服务WebServers
    sc delete webservers 
    echo 病毒服务删除完毕
    
    goto menu
    
    :3
    
    ::删除注册表
    echo 删除注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver;
    reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Ddriver /f 
    echo 删除注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers
    reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WebServers /f 
    echo 注册表删除完毕
    
    goto menu
    
    :4
    
    ::删除防火墙规则
    echo 删除入站规则名为denny445的规则
    netsh advfirewall firewall del rule name=denyy445
    echo 删除入站规则名为udp的规则
    netsh advfirewall firewall del rule name=udp 
    echo 删除入站规则名为udp2的规则
    netsh advfirewall firewall del rule name=udp2 
    echo 删除入站规则名为ShareService的规则
    netsh advfirewall firewall del rule name=ShareService 
    
    goto menu
    
    :5
    ::删除病毒设置的端口转发的设置
    echo 删除65531端口转发
    netsh interface portproxy delete v4tov4 listenport=65531 
    echo 删除65532端口转发
    netsh interface portproxy delete v4tov4 listenport=65532 
    
    goto menu
    

    注:中勒索病毒后445端口被deny掉,所以没有办法开默认共享

    展开全文
  • wireshark远程抓包

    2012-08-24 22:28:59
    远程服务器:192.168.168.220 客户机:192.168.168.100 现在需要在客户机上远程抓取服务器上的数据。...本示例演示:通过在remote端运行rpcapd服务,win7系统使用wireshark对linux系统进行抓包。 绝对物有所值。
  • 在网络技术学习过程中,初学者很可能对交换机、路由器的工作原理弄不清楚,老师常是让学生记住哪个划分冲突域,哪个可以划分广播域,本文通过wireshark实战抓包,从视觉直观上感受网络设备的工作原理,使大家对这些...
    一、集线器(hub)

    1、首先在eNSP下配置环境1(点击下载
    在这里插入图片描述
    2、在PC1执行ping命令

    ping 192.168.1.2 -c 3
    

    在抓包点PC3的Ethernet 0/0/1上抓包
    在这里插入图片描述
    3、由上可以看出,集线器可以看作是一根粗网线,它适用CMSA/CD协议,所有报文通过广播发送。它不划分冲突域和广播域,整个集线器就是一个冲突域、广播域,当PC1发送报文时候,整个网络被PC1占用,PC2与PC3处于等待状态,PC1、PC2、PC3共享hub的总带宽。

    二、交换机(switch)

    1、在eNSP下配置环境2(点击下载
    在这里插入图片描述
    LSW1上执行命令,查看交换机CAM(Content Addressed Memory)表,结果为空。

    display mac-address
    

    2、在LSW1的Ethernet 0/0/3与Ethernet 0/0/2同时抓包,在PC1执行命令

    ping 192.168.1.22 -c 3
    

    Ethernet 0/0/3抓包结果
    在这里插入图片描述
    Ethernet 0/0/2抓包结果
    在这里插入图片描述
    3、由此可见,交换机对广播报文有转发功能,当某端口收到广播报文时,交换机会将广播报文转发到每一个端口上。因此,整个交换机是一个广播域,但每个接口划分一个冲突域,因此每个端口的带宽和交换机标示带宽相同。arp中间人攻击发包过程就是利用这个原理,攻击者发送arp响应的广播包,让交换机每个端口上的设备都能收到响应包,从而对局域网中的所有用户进行欺骗和监听。
    4、交换机背板带宽,是交换机接口处理器或接口卡和数据总线所能吞吐的最大数据量。背板带宽标志了交换机总的数据交换能力,也叫交换带宽。总带宽=端口数*相应的端口速率*2(全双工模式)。如果背板带宽大于等于总带宽,背板带宽就是就是线速带宽。
    5、此时在交换机执行display mac-address查看CAM表,发现交换机已经学习到端口连接设备的mac地址。

    [Huawei]display mac-address
    MAC address table of slot 0:
    -------------------------------------------------------------------------------
    MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID  
                   VSI/SI                                              MAC-Tunnel  
    -------------------------------------------------------------------------------
    5489-985d-6c6a 1           -      -      Eth0/0/2        dynamic   0/-         
    5489-9817-3c65 1           -      -      Eth0/0/1        dynamic   0/-         
    -------------------------------------------------------------------------------
    Total matching items on slot 0 displayed = 2 
    
    

    6、二层交换机的工作流程
    (1)当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样就知道源MAC地址来自哪个端口。
    (2)分析数据包所包含的目的MAC地址,并在地址表中查找是否有相对应的端口。
    (3)如果在表中查询到有与这个目的MAC地址对应的端口,把数据包直接复制到这个端口上。
    (4)如果未能在表中查到相应的端口,则交换机广播该数据包;如果网络内有该目的主机,则对该包进行回应;而交换机记录该MAC地址对应哪个端口。将来一段时间内,就不需要对此类数据进行广播了。
    (5)不断重复上述过程,则全网的MAC信息和端口对应关系就可以建立起来。

    三、路由器(router)

    1、配置环境2
    在这里插入图片描述
    在AR1上执行命令查看路由表

    [Huawei]display ip routing
    Route Flags: R - relay, D - download to fib
    ------------------------------------------------------------------------------
    Routing Tables: Public
             Destinations : 10       Routes : 10       
    
    Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface
    
          127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
          127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
        192.168.1.0/24  Direct  0    0           D   192.168.1.1     GigabitEthernet
    0/0/0
        192.168.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
    0/0/0
      192.168.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
    0/0/0
        192.168.2.0/24  Direct  0    0           D   192.168.2.1     GigabitEthernet
    0/0/1
        192.168.2.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
    0/0/1
      192.168.2.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
    0/0/1
    255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
    
    

    2、在PC1执行命令

    PC>ping 192.168.2.22 -c 3
    Ping 192.168.2.22: 32 data bytes, Press Ctrl_C to break
    Request timeout!
    From 192.168.2.22: bytes=32 seq=2 ttl=127 time=78 ms
    From 192.168.2.22: bytes=32 seq=3 ttl=127 time=78 ms
    

    3、在GE0/0/0和GE0/0/1同时抓包
    GE0/0/0抓包结果,mac地址为PC1–>GE0/0/0
    在这里插入图片描述
    GE0/0/1抓包结果,mac地址为GE0/0/1–>PC4
    在这里插入图片描述
    4、由此可见,数据包在经过路由器后,只是改变了源地址到目的地址的mac地址,ip地址则不变,因此,我们在溯源过程中,一般情况下,在HIDS中查看数据报的mac地址并没有实际意义,其很可能是传输过程中的路由器的端口mac地址。
    5、路由器还有一个重要功能,其为了应对各种网络最大数据包大小(如以太网1518字节),对数据包进行“拆打”,即分段和组装。
    6、三层交换机与路由器的区别,路由器是无连接的设备,要对数据包进行“拆打”,导致路由器吞吐量有限,容易形成网络瓶颈,路由转发效率要比二层转发效率低。因此三层交换机出现,弥补这一不足,其既利用了二层转发高效的优点,又实现了处理三层ip数据包的能力。只对数据包第一个包进行拆包,即路由一次,多次交换

    展开全文
  • Wireshark数据抓包教程之Wireshark捕获数据

    Wireshark数据抓包教程之Wireshark捕获数据

    Wireshark抓包方法

    在使用Wireshark捕获以太网数据,可以捕获分析到自己的数据包,也可以去捕获同一局域网内,在知道对方IP地址的情况下,捕获到对方的数据包。

    Wireshark捕获自己的数据包

    如果客户端经过路由器直接上网,如图1.28所示。在该图中,PCA安装Wireshark,可以在该主机上直接捕获自己的数据。


    1.28  在主机上捕获数据

    Wireshark捕获别人的数据包

    如果都在一个局域网内,而且知道别人的IP地址的话,也可以利用Wireshark捕获到别人的数据包。具体方法如下:

    1.端口映射

    局域网内,在同一交换机下工作的PC机,如图1.29所示。PCAPCB在同一交换机下工作,PCA安装Wireshark后,把交换机上任意一个PC机的数据端口做镜像,设置交换机来复制所有数据到用户交换端口下的Wireshark端口,这时PCA就可以抓取到其他PC机的数据了,如抓取PCB的数据。

    2.使用集线器

    我们可以把图1.29中的交换机换成集线器,这样的话所有的数据包都是通发的。也就是说,不管是谁的数据包都会发到这个集线器上的每一个计算机。只要将网卡设置为混杂模式就能抓到别人的包。

    3.利用ARP欺骗

    我们都知道,发送、接受数据都要经过路由器,如图1.30所示。该图中PCA安装Wireshark后,可以利用ARP欺骗,来抓取PCBPCCPCBPCC之间的数据包了。PCA在局域网内发送ARP包,使其他计算机都误以为它是网关。这样的话,其他计算机都会将它们的数据包发送到PCA那里,因此PCA就可以抓到它们的包了。


    1.29  捕获PCB数据包              1.30  捕获数据包

    Wireshark捕获数据

    通过上述的学习,下载安装好Wireshark后,就可以利用它来捕获数据了。下面以开发版(中文版)1.99.7为例讲解如何来捕获数据。

    Wireshark如何捕获数据

    Windows窗口程序中启动Wireshark,如图1.31所示的界面。


    1.31  Wireshark主界面 1.32  捕获网络数据

    在该界面可以看到本地连接、VMware Network Adapter VMnet1VMware Network Adapter VMnet8,这是3个捕获网络接口。本机中有3个,如果使用其他电脑网络捕获接口可能是不同的。只有选择了捕获网络接口,才能进行捕获网络数据。因此首先选择网络接口。这里选择本地连接作为捕获网络接口,然后单击图中按钮,将进行捕获网络数据,如图1.32所示。 

    单击图中的按钮停止捕获。我们可以把捕获到的数据保存起来。单击图中的按钮,显示如图1.33所示的界面。


    1.33  保存捕获数据 1.34  打开捕获文件

    在该界面可以选择保存捕获数据的位置,并对保存的文件进行命名。然后单击“保存”按钮即可。这里保存在桌面,文件名称为Wireshark

    Wireshark打开捕获文件

    当我们把捕获到的数据保存起来,以便下次查看。那么怎么去打开已经捕获好的文件呢?这里将做一个介绍。

    1在启动Wireshark的界面中,单击打开按钮,弹出打开对话框,如图1.34所示。 

    2在该界面选择捕获文件保存的位置,然后单击“打开”按钮即可打开捕获的文件。

    Wireshark快速入门

    在学会使用Wireshark捕获数据的基础上,还要进一步的理解Wireshark各部分的用途。本节将进行详细讲解。

    Wireshark主窗口界面介绍

    打开一个捕获文件,如图1.35所示:


    1.35  Wireshark主窗口界面   1.36  菜单栏

    在图1.35中,以编号的形式已将Wireshark每部分标出。下面分别介绍每部分的含义,如下所示:

    • q  ①标题栏——用于显示文件名称、捕获的设备名称。

    • q  ②菜单栏——Wireshark的标准菜单栏。

    • q  ③工具栏——常用功能快捷图标按钮。

    • q  ④显示过滤区域——减少查看数据的复杂度。

    • q  Packet List面板——显示每个数据帧的摘要。

    • q  Packet Details面板——分析封包的详细信息。

    • q  Packet Bytes面板——以十六进制和ASCII格式显示数据包的细节。

    • q  ⑧状态栏——分组、已显示、已标记帧的数量,配置文件。

    以上简单的介绍了Wireshark主窗口界面的各部分的含义,下面对每一个部分进行详细的介绍

    Wireshark菜单栏介绍

    Wireshark的菜单栏界面如图1.36所示。在该界面中被涂掉的两个菜单,在工具栏中进行介绍。 

    该菜单栏中每个按钮的作用如下所示:

    • q  文件:打开文件集、保存包、导出HTTP对象。

    • q  编辑:搜索包、标记包及设置时间属性等。

    • q  视图:查看/隐藏工具栏和面板、编辑Time列、重设颜色等。

    • q  分析:创建显示过滤器宏、查看启用协议、保存关注解码。

    • q  统计:构建图表并打开各种协议统计窗口。

    • q  电话:执行所有语音功能(图表、图形、回放)

    • q  蓝牙:ATT服务设置。

    • q  帮助:学习Wireshark全球存储和个人配置文件

    Wireshark工具栏介绍

    当用户详细了解工具栏中每个按钮的作用后,用户就可以快速的进行各种操作。在工具栏中,每个按钮的作用如图1.37所示。


    1.37  工具栏   1.38  Wireshark面板

    Wireshark面板介绍

    Wireshark有三个面板,分别是Packet List面板、Packet Details面板、Packet Bytes面板。这三个面板的位置,如图1.38所示。 

    在该界面将三个面板已经标出。这三个面板之间是互相关联的,如果希望在Packet Details面板中查看一个单独的数据包的具体内容,必须在Packet List面板中单击选中那个数据包。选中该数据包之后,才可以通过在Packet Details面板中选择数据包的某个字段进行分析,从而在Packet Bytes面板中查看相应字段的字节信息。下面介绍面板的内容。

    1.Packet List面板

    该面板用表格的形式显示了当前捕获文件中的所有数据包。从图1.38中,可以看到该面板中共有七列,每列内容如下所示:

    • q  NoNumber)列:包的编号。该编号不会发生改变,即使使用了过滤也同样如此。

    • q  Time列:包的时间戳。时间格式可以自己设置。

    • q  SourceDestination列:显示包的源地址和目标地址。

    • q  Protocol列:显示包的协议类型。

    • q  Length列:显示包的长度。

    • q  Info列:显示包的附加信息。

    在该面板中,可以对面板中的列进行排序、调整列位置、隐藏列、显示列、重命名或删除列等操作。下面以例子的形式将分别介绍在该面板中可操作的功能。

    【实例1-4】演示Packet List面板中可实现的功能。如下所示:

    1列排序

    打开一个捕获文件http.pcapng,如图1.39所示。


    1.39  http.pcapng捕获文件 1.40  排序Protocol

    该界面显示了http.pcapng捕获文件中的数据包。默认Wireshark是以数据包编号由低到高排序。例如,要对Protocol列排序,单击Protocol列标题,将显示如图1.40所示的界面。

    将该界面与图1.39进行比较,可以发现有很大变化。从该界面可以看到No列的顺序发生了变化,协议列开始都为ARP

    2移动列位置

    如移动http.pcapng捕获文件中的Protocol列,到Time后面。使用鼠标选择Protocol列,然后拖拽该列到Time后面,将显示如图1.41所示的界面。


    1.41  移动Protocol 1.42  列操作选项

    3隐藏、重命名、删除列

    在捕获文件http.pacpng中,右键单击Packet List面板的任意列标题,将弹出一个下拉菜单,如图1.42所示。

    • q  隐藏列、恢复列:在弹出的菜单中可以看到Packet List面板中的七列标题前都有对勾。想隐藏哪列,单击该列,对勾消失菜单消失该列隐藏。如想恢复该列,右击Packet List面板中任意列的标题,以同样的方式即可恢复。

    • q  重命名列:在弹出的菜单中单击编辑列,显示如图1.43所示的界面。


    1.44  Wireshark首选项

    该界面出现在Packet List面板的上方,在该界面的左端的标题文本框进行重命名。然后单击右端的确定按钮即可

    • q  删除列、恢复列:在弹出的菜单中单击最下面的删除本列选项即可。恢复列需单击Column Preferences...选项,(或者在菜单栏中依次选择“编辑”|“首选项”,在弹出的界面左侧单击列即可)弹出Wireshark首选项框。如图1.44所示。 

    单击左下角的按钮,自动新建了一个标题为New Column的列,并且类型为Number。可以双击标题和类型进行更改。创建好以后单击OK按钮即可。

    Wireshark中,还可以对Packet List面板中所有数据包进行许多操作,如标记、忽略、设置分组等。用户可以通过右键单击任何一个数据包,查看可用的选项,如图1.45所示。


    1.45  可用选项 1.46  菜单栏 

    在该界面显示了在Packet List面板中,数据包的可用选项。在该选项中,使用标记分组可以快速的找出有问题的数据包。

    2.Packet Details面板

    该面板分层次地显示了一个数据包中的内容,并且可以通过展开或收缩来显示这个数据包中所捕获到的全部内容。

    Packet Details面板中,默认显示的数据的详细信息都是合并的。如果要查看,可以单击每行前面的小三角展开帧的会话。用户也可以选择其中一行并右键单击,弹出菜单栏。如图1.46所示。 

    在菜单栏中选择展开子树(单个会话)或展开全部会话。

    3.Packet Bytes面板

    该面板中的内容可能是最令人困惑的。因为它显示了一个数据包未经处理的原始样子,也就是其在链路上传播时的样子。

    在该面板中的数据是以十六进制和ASCII格式显示了帧的内容。当在Packet Details面板中选择任意一个字段后,在Packet Bytes面板中包含该字段的字节也高亮显示。如果不想看到Packet Bytes面板的话,可以在菜单栏中依次选择“视图”|“分组字节流(B)”命令将其关闭。当查看的时候,使用同样的方法将其打开。

    Wireshark状态栏介绍

    状态栏是由两个按钮和三列组成的。其中,这三列的大小在必要时可以调整。状态栏中每部分含义如图1.47所示。


    1.47  状态栏

    下面分别详细介绍下状态栏中每部分的作用。如下所示:

    • q  :该按钮是专家信息按钮。该按钮的颜色是为了显示包含在专家信息窗口中最高水平的信息。专家信息窗口可以提醒用户,在捕获文件中的网络问题和数据包的注释

    • q  :该按钮是捕获文件注释按钮。单击该按钮,可以添加、编辑或查看一个捕获文件的注释。该功能只可以在以.pcapng格式保存的捕获文件使用。

    • q  第一列(获取字段、捕获或捕获文件信息):当在捕获文件中选择某个字段时,在状态栏中将可以看到文件名和列大小。如果点击Packet Bytes面板中的一个字段,将在状态栏中会显示其字段名,并且Packet Details面板也在发生着变化。

    • q  第二列(包数):当打开一个捕获文件时,在状态栏中的第二列将显示该文件的总包数。在图1.47中,显示了捕获的数据包数量、显示包数和加载时间。如果当前捕获文件中有包被标记,则状态栏中将会出现标记包数。

    • q  第三列(配置文件):表示当前使用的文件。在图1.47中,表示正在使用Default 文件。文件可以创建,这样就可以自己定制Wireshark的环境。

    本文选自:Wireshark数据抓包基础教程大学霸内部资料,转载请注明出处,尊重技术尊重IT人!


    展开全文
  • 用39系列交换机镜像抓包配置方法: 一、3900端口镜像配置 步骤一 :[Quidway]mirroring-group 1 local 说明:创建端口镜像组 步骤二:[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22 说明:创建镜像目的...
  • Wireshark网络抓包入门之入门原理 Wireshark原理 网络抓包就是将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作。也用来检查网络安全,抓包也经常被用来进行数据截取等。 Wireshark软件功能:分析底层...
  • Wireshark抓包分析交换机工作原理

    千次阅读 2020-04-15 14:38:26
    【实验名称】 交换机工作原理 【实验目的】 1、熟悉Linux虚拟网络环境; 2、熟悉Linux中network namespace的...5、熟悉Linux中网络分析软件Wireshark的基本操作; 6、观察交换机(Bridge)的工作过程,分析并掌...
  • Wireshark数据抓包分析(网络协议篇)第1章网络协议抓包概述 网络协议是用于不同计算机之间进行网络通信的。网络协议是网络上所有设备(如网络服务器、计算机、交换机、路由器等)之间通信规则的集合,它规定了通信时...
  • 华为交换机抓包

    千次阅读 2019-09-22 03:01:57
    1.登录交换机,找一个合适的空闲端口,作为观察口(观察口的端口速率至少与镜像口持平)#observing-port 1 interface GigabitEthernet 0/0/6 (将G0/0/6作为观察口,编号为3) 全局下: 2.进入异常流量端口,将镜像...
  • wireshark抓包工具

    2020-09-25 09:19:22
    wireshark抓包工具,windows上已经验证过,可以抓包,你可以与被测的嵌入式单板以及设备一起接入到交换机上,进行报文的提取,如果你在win7上安装后没有本地接口的显示,你需要下载一个Winpcap(下载Winpcap网站:...
  • Wireshark 远程抓包

    千次阅读 2013-03-13 12:47:24
    摘要:某次使用Wireshark抓包的时候偶然发现的,就记下来吧。估计是孤陋寡闻了,呵呵。不禁感慨wireshark真是强大啊,也不知道从哪个版本开始的,IT.robin用的是1.40的版本。 首先是保证远程机器安装了winpcap。没有...
  • Wireshark数据抓包分析之FTP协议

    万次阅读 多人点赞 2018-04-17 20:09:58
    抓包工具,过滤条件输入 ip.addr == 10.1.1.33 ,这里可以通过 cmd 的命令行去登录 FTP 服务器,也可以通过浏览器登录,我们这里,为了熟悉 FTP 的常用命令,使用 cmd 的命令行登录,如下 上面的信息就是登录 FTP ...
  • 华为交换机抓包上传至PC 1 登录交换机配置ftp [HW_7703_A]ftp server enable [HW_7703_A]aaa [HW_7703_A-aaa]local-user ftpuser password cipher ftpuser info: A new user added [HW_7703_A-aaa]local-user ...
  • wireshark抓包分析,会抓包但是不会分析,那个高手我也是个初学者,我在用wireshark....如何用抓包工具wireshark交换机其中一端口进行抓用39系列交换机镜像抓包配置方法: 一、3900端口镜像配置 步骤一 :[...
  • WireShark网络抓包实验

    2010-12-03 10:57:37
    WireShark网络抓包实验 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://netseagull.blog.51cto.com/476768/107137 Wireshark(Formerly ...
  • Wireshark抓包原理剖析

    千次阅读 2019-11-22 13:04:59
    2.1.2 数据包过滤器      过滤器可以告知协议分析器想要捕获的数据包类型。上面的图7展示了数据包流的流动方向,如果想要捕获特定类型的协议数据包,则可以在图7中的“捕获过滤器”处设置一个特定的过滤器,...
  • 由于需要调试pc服务器打印胶片和设备上直接打印胶片之间的区别,研发要求我抓包分析2者之间的差别,但是很快面临一个问题,我没有权限动交换机的权限,他们也没有在交换机上配置端口镜像,于是只好去找小HUB,淘汰了...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,346
精华内容 938
关键字:

wireshark交换机抓包