wireshark网络流量抓取分析器
ip过滤
ip.addr == 10.3.154.163 所有ip是输入的就都显示出来
ip源地址:ip.src ==10.3.154.163
目标ip:ip.dst == 10.3.154.163
端口过滤
tcp.port == 80 选取所有的端口是80的数据包,不管是源端口还是目的端口
tcp.dstport == 80,找目标是80端口的数据包
tcp.srcport == 80,找源端口是80的包
udp.port == 21 找使用udp协议,端口是21的所有包
udp.srcport == 21 找使用udp协议的,源端口是21的包
协议过滤
http
tcp
udp
icmp
arp
http模式过滤
http.request.method == "POST" 找到HTTP协议的,请求方式是POST方式的数据包
http.request.method == "GET" 找到HTTP协议的,请求方式是GET方式的数据包
http.cookie ==
http.data ==
http.host ==
连接符号
and &
or ||
系统端口 0-1023
登录端口 1024-49151
客户端端口 49152-35535
SYN ACK标识位,seq 随机序列号
Frame数据帧
Enacapsulation type:Ethernet(1),封装类型
Arrival Time:捕获时间
Epoch Time:时间戳
Frame Number:1 帧序列号
Frame Length ,帧长度
Capture Length,捕获长度
Ethrnet II,Scr:iNTELCor,以太网帧头部信息
Destination,目标MAC
Source InterlCor,源MAC
Type IP类型
Internet Protocol Version 4,网络层ip头部信息
version 4 版本
Header Length:20 bytes,IP头长度
Differentiated Services Field 差分服务字段
Total Length 总长度
Identification 标志位,用来分组给分片的数据包标记使用
Flags 标记位,用来确定数据包后续是否有切片,以及决定是否分片
Time to live 生存时间
Protocol 上层协议
Header Checksum 头部校验和
source 源ip
Destination 目标ip
Transmission Control Protocol ,TCP传输层头部信息
source port 源端口
Destination port 目标端口
sequence number 序列号
acknowledgement number确认号,希望收到对方下一个报文段的第一个数据字节的序号
flags 标记
window size value窗口大小
checksum校验和
协议部分,如Hypertext transfer protocol,HTTP协议
GET 请求方式
Host 请求头
请求内容
响应
状态码
响应头 如date,server
响应内容
Line-based text data 响应数据