认证会2018年6月-wirshark抓包实战

1、数据包抓取工具基础篇几个概念什么是协议TCP/IP、OSI参考模型数据的封装与解封装集线器、交换机、路由器广播、组播、单播基础篇如何抓包基础篇分流器基础篇如何抓包基础篇混杂模式基础篇Wireshark的前世今生基础篇Wireshark的优点基础篇 基础篇二:捕获过滤器过滤器基础篇捕获过滤器BPF语法基础篇捕获滤器基础篇基础篇捕获滤器基础篇捕获滤器基础篇捕获滤器基础篇捕获滤器IPv4协议报文结构Version版本DS FieldDS位(TOS)Total Length总长度IdentificationIDFlags标志Fragment Offset片偏移Time to Live生存时间 Prot

2、ocol协议号Header Checksum校验和Source IP Address源IP地址Destination IP Address目标IP地址IP Options IP选项0 16 31 20 Bytes固定长度20-60 BDataIPHeaderLength头部长度基础篇捕获滤器基础篇捕获滤器基础篇捕获滤器基础篇捕获过滤滤器重点说明:TCP13=2 表示只是syn 置位的的包但是如果要抓取只要包含syn的包 其中包括syn 以及syn+ack 用第一种方法就不行TCP13=18 表示syn+ack图片中的写法是这个意思TCP13 &表示进行与运算 与运算的值是2 也可以用1

3、6进制表示 0 x02与出来的结果 只要syn置为位1 不管ack为 与0 x02 与出来的结果都是0000 0010 =2基础篇捕获过滤器终极难度Capture HTTP GET requests. This looks for the bytes G, E, T, and (hex values 47, 45, 54, and 20) just after the TCP header. tcp12:1 & 0 xf0) 2 figures out the TCP header length. From Jefferson Ogata via the tcpdump-workers

4、 mailing list.port 80 and tcp(tcp12:1 & 0 xf0) 2):4 = 0 x47455420tcp12:1 tcp报头从12直接开始往后读取1个字节 就是读取 TCP头部长度字段& 表示and 运算 与0 xf0 进行and 运算 这样不管保留位是什么值 与1111 0000 运算都能得出纯净的 头部长度数值 表示 向左移动 tcp的头部长度占了4bit 计算的一个字节左移动4位tcp 头部长度报文实际值 又要x4倍 这个和ip报头一样 所以需要扩大4倍(tcp12&0 xf0)4 表示tcp头的长度，此域的单位也是32bit，换算

5、成比特数为 (tcp12&0 xf0) 4)2)要抓去tcp的date 字符串 wirshark 有个工具 直接copy吧 基础篇捕获滤器 基础篇三:显示过滤器基础篇显示过滤滤器基础篇显示过滤滤器基础篇显示过滤滤器基础篇显示过滤滤器基础篇显示过滤滤器基础篇显示过滤滤器基础篇显示过滤滤器-宏的使用输入宏:ip.addr=$1 & tcp.port=$2调用宏:$spoto:29;80 进阶篇一进阶篇一:基本统计工具基本统计工具进阶篇基本统计工具1.捕获文件属性2.协议分级3.对话4.端点5.流量图6.HTTP7.IP统计工具进阶篇基本统计工具进阶篇基本统计

6、工具-捕获文件属性进阶篇基本统计工具-协议分级工具进阶篇基本统计工具-对话进阶篇基本统计工具-端点进阶篇基本统计工具-流量图进阶篇基本统计工具-HTTP统计工具进阶篇基本统计工具-IP统计工具 进阶篇二进阶篇二:高级统计工具高级统计工具进阶篇高级统计工具-IO Graphs进阶篇高级统计工具-IO Graph进阶篇高级统计工具-IO Graph进阶篇高级统计工具-IO Graph查看访问思博网站的流量总流量ip.addr=18进阶篇高级统计工具-IO Graph查看我去往思博网站的上下行流量 上行流量: ip.src_host= and ip.dst=18下行流量:ip.dst_host= and ip.src=18进阶篇高级统计工具-IO Graph查看访问思博网站的访问量分析 http.host contains spoto进阶篇高级统计工具-IO Graph进阶篇高级统计工具-IO Graph进阶篇高级统计工具-IO Graph查看访问思博网