流量分析 (WireShark)

Posted n-schema

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了流量分析 (WireShark)相关的知识,希望对你有一定的参考价值。

过滤ip
ip.src eq(=) x.x.x.x or ip.dist eq(=) x.x.x.x
//组合过滤也可以设置or,and进行组合过滤
ip.addr eq(=) x.x.x.x
//单个ip过滤
 
过滤端口
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 只显示tcp协议的目标端口为80
tcp.srcport == 80 只显示tcp协议的源端口为80
tcp.port >= 1 and tcp.port<= 80
 
过滤协议
tcp/udp/arp/icmp/http/ftp/dns/ip...
//直接输入协议名称即可
 
过滤MAC地址
eth.dst == A0:00:00:04:C5:84 过滤目标mac
 
包长度过滤
udp. length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.1en >= 7指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len== 119整个数据包长度,从eth开始到最后
 
http模式过滤
http.request.method == "GET"
http.request.method =="POST"
http.request.uri == "/ img/logo-edu.gif"
http contains "GET"
http contains "HTTP/1. "
http.request.method == "GET" && http contains "User-Agent:"
http contains "flag"
http contains "key"
tcp contains "flag"
 
 
 
源和目的ip 源和目的端口 协议
 
 
 
协议分级
英文版:Statistics->Protocol Hierarchy
中文版:统计->协议分级
文件数据流可能在Media Type
 
 
流汇聚
可以将HTTP流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容
右击->追踪流


以上是关于流量分析 (WireShark)的主要内容,如果未能解决你的问题,请参考以下文章

2021年云南省职工职业技能大赛CTF流量分析题(wireshark)WriteUp

流量分析入门

如何用wireshark抓取两个路由器之间的数据包

读<Wireshark数据包分析实战-第3版;之流量分类

用Wireshark对Android应用的网络流量进行抓包

掘安攻防实验室(流量分析题)