H3C交换机端口镜像，抓取数据包wireshark实战

Posted 2022-06-10 rime

端口镜像

<H3C>system-vies     //进入配置模式

用户名：admin

密码：admin（默认）

[H3C] dis cu int  查看所有端口的配置

[H3C] mirroring-group 1  local   //创建本地镜像组

[H3C] mirroring-group 1 mirroring-port G1/0/1 both     //设置源端口，镜像可以根据实际情况灵活选择入方向、出方向及全部流量；both，全部流量；inbound，入方向流量；outbound，出方向流量

[H3C] mirroring-group 1 monitor-port G1/0/2     //设置目的端口

[H3C] exit   //退出

 

抓取数据包软件：Wireshark

官网地址：https://www.wireshark.org/

官网下载地址：https://www.wireshark.org/#download

 

Wireshark界面说明

1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wireshark组织的说明列并不一定是该数据包中的原始内容。

2号窗口是1号窗口中选定的数据包的分协议层展示。底色为红色的是因为wireshark开启校验和验证而该层协议校验和又不正确所致。

3号窗口是1号窗口中选定的数据包的源数据，其中左侧是十六进制表示右侧是ASCII码表示。另外在2号窗口中选中某层或某字段，3号窗口对应位置也会被高亮。

 

基本过滤表达式

一条基本的表达式由过滤项、过滤关系、过滤值三项组成。

比如ip.addr == 192.168.1.1，这条表达式中ip.addr是过滤项、==是过滤关系，192.168.1.1是过滤值（整条表达示的意思是找出所有ip协议中源或目标ip、等于、192.168.1.1的数据包）