✍作者:柒烨带你飞
💪格言:生活的情况越艰难,我越感到自己更坚强;我这个人走得很慢,但我从不后退。
📜系列专栏:网络安全从菜鸟到飞鸟的逆袭
目录
- 一、网络截获数据包的基础
- 1、以太网卡的工作模式
- 2、单播、组播、广播的概念
- 3. 两种过滤器
- 二,过滤器
- 案例
一、网络截获数据包的基础
1、以太网卡的工作模式
以太网卡在正常情况下只接收MAC地址与自己相匹配的数据帧(单播包),广播包,属于自己的组播包
网卡完成收发数据包的工作,两种接收模式
- 混杂模式:不管数据帧中的目的地址是否与自己的地址匹配,都接收下来
- 非混杂摸式:只接收目的地址相匹配的数据帧,以及广播数据包和组播数据包。默认情况下,网卡处于该模式
捕获->选项,可设置模式
2、单播、组播、广播的概念
- 单播:是在一个单个的发送者和一个接受者之间通过网络进行的通信
- 组播:它允许把所发消息传送给所有可能目的地中的一个经过选择的子集,即向明确指出的多种地址输送信息
- 广播:在网络中只有一个单一的通信信道,由这个网络中所有的主机所共享
3. 两种过滤器
- 捕获过滤器:在抓包之前先进行过滤(只抓某种类型的包)
- 显示过滤器:抓包前后,都可以进行过滤,不影响抓取的包(抓取所有的包)
二,过滤器
-
捕获过滤器的语法说明
- 类型Type:host(指定)、net(网络)、port(端口)
- 方向Dir:src(源)、dst(目的)
- 协议Proto:ether、ip、tcp、udp、http、ftp
- 逻辑运算符:&&与、‖或、!非
`#抓取源地址为192.168.1.1,目的端口为80的流量`src host 192.168.1.1 &dst port 80`#抓取192.168.1.1和192.168.1.2的流量`host192.168.1.1||host192.168.1.2``#不要抓广播包`!broadcast`#抓取目的UDP端口为4569的封包``udp dst port 4569$``#抓取目的或来源IP地址为192.168.4.7的封包`host192.168.4.7`#抓取来源为TCP或UDP,并且端口在2000~5000范围内的封包``src portrange 2000-5000$``#抓取来源IP地址为172.17.12.1,但目的地址不是192.168.2.0/24的封包`srch0st172.17.12.1 and not dst net192.168.2.0/24
- 显示过滤器
该过滤器根据指定的表达式用于在一个已捕获的数据包集合中,隐藏不想显示的数据包,或者只显示那些需要的数据包。
- 语法说明
- 比较操作符:= =等于(eq)、!=不等于(ne)、>大于(gt)、<小于(It)、>=大于等于(ge)、<=小于等于(le)`
- 逻辑操作符:and(&&)两个条件同时满足、or(||)其中一个条件被满足、xor有且仅有一个条件被满足、not没有条件被满足
- IP地址过滤:ip.addr(IP地址)、ip.src(源地址)、ip.dst(目的地址)
- 端□过滤:tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn、tcp.fag.ack
- 协议过滤:arp、ip、icmp、udp、tcp、http、tls、等等
案例
- 开启wireshark抓包,抓取所有的报文,然后去访问一个HTTP的网站
- 过滤DNS的报文,找到对应的域名解析报文
- 根据DNS返回的IP地址,找到主机与服务器的TCP交互过程
- 找到客户机请求服务器的HTTP报文,追踪HTTP流情况
显示dns报文
Ctil + n 查找baidu.com
ip.addr==39.156.66.10
博主的其他系列专栏📜📜📜 - 1 环境配置集合
- 2 C语言小实例项目
- 3 HTML入门 + 实战小案例
创作不易,😊如果觉得文章不错或能帮助到你学习,可以点赞👍收藏📁评论📒+关注哦!留下你的看法和建议💕
我们下期见✍️
