協議
TCP/IP協議簇
- 網絡接口層(沒有特定的協議)PPPOE
- 物理層
- 數據鏈路層
- 網絡層: IP(v4/v6) ARP(地址解析協議) RARP ICMP(Internet控制報文協議) IGMP
- 傳輸層:TCP(傳輸控制協議)UDP(用戶數據報協議)
- 應用層:都是基于傳輸層協議的端口,總共端口0~65535 0~1023 HTTP—tcp80 HTTPS–TCP443
- DHCP
- DNS
- HTTP
- HTTPS
- FTP
- SMTP
- POP3
- IMAP
流量抓取工具(wireshark)
一、網卡
wireshark是對主機網卡上的數據流量進行抓取
1、網卡模式
- 混雜模式:不管目的是否是自己,都接收
- 非混雜模式:默認情況下,主機的網卡處于此模式,不會接收目的非自己的數捆
默認情況下開啟混雜模式
2、界面認識
3、兩種過濾器
- 捕獲過濾器:在抓包之前先進行過濾(只抓某種類型的包或者不抓某些類型的包)
- 顯示過濾器:抓包前后抓包后都可以進行過濾,但是不會影響抓取的包(會抓取所有的包,只不過在查看的時候只顯示某些包)
4、過濾器
-
捕獲過濾器
-
語法
-
類型:host net port
-
方向:src dst
-
協議:ether ip tcp udphttp ftp……
-
邏輯運算符:&&與 ||或 !非
-
舉例
-
抓取源IP為192.168.18.14并且目標端口為80的報文
src host 192.168.18.14 && dst port 80 -
抓取IP為192.168.18.14或者IP地址為192.168.18.1
host 192.168.18.14 Il host 192.168.18.1 -
不抓取廣播包
! broadcast -
抓取源IP為192.168.18.14或者源192.168.18.0/24,目的TCP端口號在200到1000之間,并且目的位于129.0.0.0/8
(src host 192.168.18.14 Il src net 192.168.18.0/24) && (dst portrange 200-10000 && dst net 119.0.0.0/8)
-
-
-
-
顯示過濾器
-
語法
- 比較操作符: ==(eg) != (neg) >大于(gt) <小于(It) >=大于等于(ge) = 小于等于(le)
- 邏輯操作符:and(&&)與 or (Il) not
- IP地址過濾:ip.addr ip.src ip.dst
- 端口過濾:tcp.port tcp.dstport udp.port tcp.flag.syn tcp.flag.ack
- 協議過濾:arp icmp udp tcp http ip
-
舉例
-
顯示源IP等于192.168.18.14并且tcp端口為443
ip.src==192.168.18.14 and tcp.port==443 -
顯示源不為192.168.18.14或者目的不為202.98.96.68的
ip.src!=192.168.18.14 or ip.dst!=202.98.96.68
-
-
)
