10.15计网相关

Posted 2020-11-16 x98339

Wireshark网络流量抓取分析器，需要学习一些常用的数据包过滤规则

IP过滤

ip.addr==192.168.1.1 只要包中的ip有192.168.1.1的全部提取

IP源地址：  ip.src==127.0.0.1

IP目标地址：ip.dst==xxx.xxx.xx.x

查询多个条件用&连接

端口过滤

 tcp.port==80 选取所有端口是80的包，不管是源端口还是目的端口 tcp协议

tcp.dstport==80 找目标端口是80的包 tcp协议

tcp.srcport==80 找源端口是80的包 tcp协议

udp.port==21 找包含端口21的所有udp包

udp.srcport==53 找源端口是53的udp包

udp.dstcport==53找目标端口是53的udp包

协议过滤

http

tcp

udp

icmp

arp

HTTP模式过滤

http.request.method==”POST”

http.request.method==”GET”  

 

数据段 传输层

数据包 网络层

数据帧 链路层

 

封包详细信息

Frame  数据帧

封装类型

捕获时间

时间戳

帧序列号

帧长度

捕获长度

Ethernet II 以太网帧头部信息

目标MAC

源MAC

IP类型

IPv4网络层头部信息

版本

IP头部长度

差分服务字段

总长度

标志位：用来分组，给分片的数据包标记

标记位：用来确定后续是否有切片以及决定是否分片

窗口大小

校验和

HTTP应用层头部信息

请求方式

请求头（host/ua/cd/）

请求内容（）

响应内容（html+CSS+JAVASCRIP）

三次握手

 

SYN:seq=100

SYN/ACK:seq=300,ack=101

ACK:seq=101,ack=301

 

四次挥手

 

FIN,ACK:seq=100

ACK:seq=300,ack=101

FIN,ACK:seq=500,ack=101

ACK:seq=101,ack=501