Wireshark 数据包分析学习笔记 Day3

进行有效的数据包分析最关键是在什么地方抓包，会有事半功倍的效果。

捕获数据包的方式：

1、混杂模式：一种允许网卡能够查看到所有流经网络线路数据包的驱动模式。网卡将会把每一个它所看的数据包都传递给主机的处理器。

2、集线器网络抓包：将数据包嗅探器连接到集线器的任意一个空闲端口上。

3、交换式网络抓包：

1）端口镜像，强制将交换机一个端口或多个端口的所有通信都镜像到另一个端口上。

2）集线器输出，将目标设备和分析系统分段到同一网络段中，然后把它们直接插到一个集线器上。

3）网络分流器，包括聚合的(3 个端口)和非聚合的(4 个端口)。

4）ARP 欺骗，可以使用工具 Cain&Abel，可以在 oxid.it 下载

4、路由网络抓包：在不同的网段中设置嗅探器

Winpcap 驱动是能够通过操作系统捕捉原始数据包、应用过滤器，并能够让网卡切入或切出混杂模式。

Wireshark 中查找数据包

使用 Ctrl+F 打开查找条件框，可以搜索的类型如下

Display Filter：not ip 、ip.addr=192.168.11.1

Hex value：00:ff、00:AB:B1:f0

String：Uer8、Domian

按 Ctrl+N，查找下一个匹配的数据包；按 Ctrl+B，查找前一个匹配的数据包

捕获过滤器表达样式：

Tcp[13]&16==16  设置了 ACK 位的 TCP 数据包

Tcp[13]&4==4     设置了 RST 位的 TCP 数据包

Tcp[13]&2==2    设置了 SYN 位的 TCP 数据包

Tcp[13]==18           TCP SYN-ACK 数据包

Broadcast             仅广播流量

Icmp[0:2]        ICMP 目标不可达、主机不可达

显示过滤器表达实例：

!tcp.port==3389                   排除 RDP 流量

Tcp.flags.syn==1                 具有 SYN 标志位的 TCP 数据包

Tcp.flags.rst==1                   具有 RST 标志位的 TCP 数据包

!arp                                        排除 ARP 流量

http                                        所有 http 流量

smtp||pop||imap              email 流量