抓包原理:
一、哪种网络可以抓到包:
1、主机环境:wireshark绑定本机网卡,直接抓本地网卡进出的流量
2、集线器环境:抓整个集线器连接的局域网里的包(现在很少)
3、交换机环境:
端口镜像:本机网卡调为混杂模式,抓连接交换机的包(正经抓包)?
arp欺骗: cain&abel 是arp攻击软件 ?
mac泛洪: ?
二、底层原理
基本操作
一、基本
captrue下interface list选择需要抓包的网卡
标记数据包:在Packet List中选中一个数据包,右键选择Mark Packet就可以将该数据包高亮标记,快捷键按ctrl+M,取消标记也是ctrl+M
主窗口:wireshark的主窗口分三大主块:Packlist List(数据包列表)、Packet Details(数据包细节)、Packet Bytes(数据包字节)
首选项设置:菜单栏的Edit里的Preferences里设置,包括这几个部分:User Intereface(用户接口)、Capture(捕获)、Name Resolutions(名字解析)、Statistics(统计)、Protocols(协议)
二、捕获
捕获设置:Capture 下的Optiion可以用来设置各种数据包抓取规则
在‘1’处设置网卡,可以选择一个双击,弹出该接口的具体设置信息设置是否开启混杂模式,是否以pcap-ng格式捕获数据包,以及按字节数限制每个捕获数据包的大小。
在‘3’捕获文件过滤器:可以用各种触发器(基于文件大小或时间)
在‘4’停止捕获:可以以文件大小、时间或者数据包数目为触发条件,停止数据包捕获。
在‘5’显示设置的相关设置:注意实时显示会增加CPU负荷,可以取消该项。
在‘6’名字解析:MAC地址解析,将数据链路层的MAC地址解析成网络层的IP,如果解析失败,则会按MAC地址前三个字节转换成设定制造商的名称,如Netgear_01:02:03;网络名字解析:尝试使用DNS协议,将IP地址解析成主机名,注意这会产生格外的DNS流量;传输名字解析:尝试将端口号解析成与其相关的名字,如80端口转换成http显示。
三、分析
跟踪TCP数据流:右键单击一个数据包选择Follw TCP/UDP Stream即可重组出数据流交互过程。其中红色表示从源地址发往目标地址,蓝色反之。
四、统计
查看端点:Statistics->Endpoints,其中有各层每一个端点的地址、传输发送数据包的数量以及字节数。
查看会话:Statistics -> Conversations,网络会话是指地址A与地址B之间的会话。
协议数据的分层统计:Statistics->Protocol Hierarchy。有时需要分析捕获数据包中各协议所占的比例,以分析网络流量是否正常。
filter书写:
协议
http,
过滤ip
ip.src==? ip.dst==?
过滤mac
eth.addr==? eth.src==? eth.dst==?
过滤端口
协议.port==? 协议.srcport==? 协议.dstport==?
http过滤
http.request.method=="GET"
条件组合
and or
