zoukankan      html  css  js  c++  java
  • Wireshark使用记录

    TCP/IP协议族里的协议众多 要一一精通比较困难,在一些紧急急需要分析主机、客户端的流量场景时,不懂协议也要上!下面就是用到哪里就记录到哪,有错误欢迎评论指出,多谢。

    wireshark这玩意相当于电脑的总网络代理,不像burpsuite只有只能拦截浏览器的http/https两种协议,电脑上使用的几百种协议,他都能给你拦截下来,问题也随之产生了,那么多协议,那么多数据包,几乎一秒好几百条数据包,新手看到这数据像瀑布一样的场面,胆小估计都得吓尿了,不要慌,跟着老夫一把梭。

    你就把他当成mysql数据库,里面的库、表、字段、数据非常多,必须通过精确的过滤语法把想要的数据过滤出来才能得到发包、响应包,进行分析,如果不会过滤,那么这个神器也和你没什么关系。

    使用这玩意的情景,很多时候下是不知道客户端使用了什么鬼协议,在定出大致范围的时候,清空包,然后快速点击客户端的一个发包功能,wireshark会拦截到前面的位置,这样就好定位出来了。然后在通过分析TCP流,查看是什么协议,在进行过滤。


    选择网卡

    wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。
    用wifi 就选wi-fi:en0
    en0就是你的网卡标识。

    用有线网线的话,看看标识是什么,我好久没用过有线了。


    如果你知道服务器的ip

    # Source 为本机的地址
    # 过滤 Source字段为: 10.161.114.198 的数据
    ip.src eq 10.161.114.198
    

    # Destination 表示 服务器的地址
    # 过滤 Destination字段为: 10.161.204.10 的数据
    ip.dst eq 10.161.204.10
    

    每条记录都有如下协议层
    (1) Frame: 物理层的数据帧概况
    (2)Ethernet II: 数据链路层以太网帧头部信息
    (3)Internet Protocol Version 4: 互联网层IP包头部信息
    (4)Transmission Control Protocol: 传输层的数据段头部信息,此处是TCP
    (5)Hypertext Transfer Protocol: 应用层的信息,此处是HTTP协议

    应用层的信息,都是二进制乱码,看个卵,

    不要怕,右键Follow——>TCP Stream,还是能看到一些数据的。


    拦截TCP报头

    捕获过滤器中填入表达式:host www.cnblogs.com and port 80(80等效于http)
    会有多个TCP流时在显示过滤器中,这时填入表达式:tcp.stream eq 0 筛选出第一个TCP流(包含完整的一次TCP连接:三次握手和四次挥手)

    tcp.stream eq 0
    


    如果你知道使用什么协议---http协议拦截举例

    1. 过滤http,并且清理一下历史数据

    2. 随便打开一个域名

    3. 分析包
      我也不知道为什么http 也会叫OCSP协议,至少格式还是一样的,先不管。

    4. 分析TCP流,熟悉的格式又回来了。

  • 相关阅读:
    知乎 : 有什么你认为很简单的问题实际的证明却很复杂?
    民科吧 的 一题 : ∂ f / ∂ x =
    知乎: Lurie 的 derived algebraic geometry 有多重要?
    说说 网友 专业证伪 的 那道 几何题
    在 《数学问题,连接两个点的曲线旋转所成曲面中,面积最小的曲线是什么?》 里 的 讨论
    证明 夹逼定理 和 洛必达法则
    一道数学题 : 数列 { bn } 收敛, 证明 { an } 也收敛
    一道数学题 : f ( 2^x ) + f ( 3^x ) = x , 求 f ( x )
    网友 lzmsunny96 的 一个 分数 分解题
    我 搞了一个 尺规作图 不能 实现 三等分角 的 证明
  • 原文地址:https://www.cnblogs.com/mysticbinary/p/12739862.html
Copyright © 2011-2022 走看看