欢迎各位彦祖与热巴畅游本人专栏与博客
你的三连是我最大的动力
以下图片仅代表专栏特色 [点击箭头指向的专栏名即可闪现]
专栏跑道一
➡️网络空间安全——全栈前沿技术持续深入学习
专栏跑道二
➡️ 24 Network Security -LJS
专栏跑道三
➡️ MYSQL REDIS Advance operation
专栏跑道四
➡️HCIP;H3C-SE;CCIP——LJS[华为、华三、思科高级网络]
专栏跑道五
➡️RHCE-LJS[Linux高端骚操作实战篇]
专栏跑道六
➡️数据结构与算法[考研+实际工作应用+C程序设计]
专栏跑道七
➡️RHCSA-LJS[Linux初级及进阶骚技能]
上节回顾
WireShark 抓包及常用协议分析
1.常见协议包
可能会产生一个报错信息,是不建议我们使用 root 用户运行。我们直接点击 OK 就行,这个报错信息影响我们任何的使用。
选择我们的网卡
双击网卡之后就会自动进行抓包
1.2混杂模式介绍
- 混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证MAC 地址。
- 普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。
- 一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。
关闭和开启混杂模式方法
- 关闭和开启混杂模式前,需要停止当前抓包。如下,停止捕获。
在程序的工具栏中点击“ 捕获 ”---》“ 选项 ”
在选项设置界面中的“ 输出 ”设置栏的左下方勾选“ 在所有接口上使用混杂模式 ”
这样就开启了。默认就是开启混杂模式。
1.3WireShark 的过滤器使用
- 我们开启混淆模式来做一下感受,我们再次捕获---在所有接口上使用混杂模式就可以直接进行抓包了
下面我们打开浏览器访问以下百度。
访问完成后点击停止抓包即可,我们不需要抓太多的数据包。
可以看到有很多数据包但是我们怎么才能找到对应的数据包类型呢?
- 这里就是我们的过滤器,我可以根据自己的条件筛选自己想要的数据包
示例1:使用过滤器筛选 TCP 的数据包
注意:
- 筛选条件我们都使用小写就好了,大写的话会不识别。
示例2:使用过滤器筛选 arp 的数据包
示例3:使用过滤器筛选 udp 的数据包
- 我们使用过滤器输入“udp”以筛选出 udp 报文。但是为什么输入 udp 之后出现那么多种协议呢?
- 原因就是 oicq 以及 dns 都是基于 udp 的传输层之上的协议
- oicq补充:
- OICQ 是 "Open ICQ" 的缩写,最初是由中国的腾讯公司开发的一种即时通讯协议。它的设计灵感来自于 ICQ(一个早期的即时通讯软件)。OICQ 主要用于提供即时消息、文件传输和在线状态等功能。
- OICQ 使用 UDP 作为传输层协议之一,这使得它在数据传输上具有低延迟和高效性,适合即时通讯应用。尽管 OICQ 的早期版本与 ICQ 相似,但随着时间的推移,它逐渐演变成了后来的 QQ(腾讯 QQ),成为一种广泛使用的社交平台。
扩展:
- 客户端向 DNS 服务器查询域名,一般返回的内容都不超过 512 字节,用 UDP 传输即可。
- 不用经过三次握手,这样 DNS 服务器负载更低,响应更快。
- 理论上说,客户端也可以指定向 DNS 服务器
- 查询时用 TCP,但事实上,很多 DNS 服务器进行配置的时候,仅支持 UDP 查询包。
示例4:使用过滤器筛选 http 的数据包
示例5:使用过滤器筛选 dns 的数据包
其实不仅可以对协议类型进行筛选,我们还有跟多的筛选条件,比如源地址目的地址等等。。。
示例6:筛选源地址是 192.168.1.53 或目的地址是 192.168.1.1
在终端 ping 192.168.1.1
然后修改筛选器条件为
ip.src_host == 192.168.1.53 or ip.dst_host == 192.168.1.1
ip.src_host == 192.168.1.53 表示源 IP 地址
ip.dst_host == 192.168.1.1 表示目的地址
- 中间用 or 进行了拼接,表示或 当然我们也可以使用 and 表示与,or 表示满足左右其中一个条
- 件就会显示符合条件的数据包,and 表示左右 2 个条件都满足才会显示。
and
