写点什么

Wireshark 数据包分析学习笔记 Day17

发布于: 2021 年 03 月 20 日
Wireshark数据包分析学习笔记Day17

显示过滤器的基本构成包括 3 部分,分别是过滤器字段、运算符和值

 

“显示过滤器表达式”对话框包括 7 部分信息,分别是字段名称、关系、值、预定义的值、范围、搜索和显示过滤器文本框

 

当用户根据以太网地址显示过滤时,指定的值有 3 种形式,分别是使用冒号、点或破折号分隔 6 个字节。

使用冒号:eth.dst==ff:ff:ff:ff:ff:ff;

使用破折号:eth.dst==ff-ff-ff-ff-ff-ff;

使用点号:eth.dst==ffff.ffff.ffff。

 

当用户根据文本字符串显示过滤时,可以使用双引号、contains、matches、~或 &符号

 

使用 contains 指定一个 UDP 头部包括三位序列 0x81、0x60 和 0x03 的包,则语法格式如下:upd contains 81:06:03

 

用户在使用显示过滤器时,还可以使用 in 来指定一个范围过滤器。其中,该范围过滤器的值由花括号({})括起来。例如,过滤端口为 80、443 和 8080 的包,语法格式如下:

Tcp.port in {80 443 8080}

 

转换 HTTP 请求服务中包含 apache 的字符串并转换为小写,语法格式如下:

Lower(http.server) contains “apache”

 

Support loopback traffic("Npcap Loopback Adapter"will be created):支持捕获本地回环数据包。

Restrict Npcap driver's access to Administrators only:仅限制管理员可以访问 Npcap 驱动。

Support raw 802.11 traffic(and monitor mode)for wireless adapters:支持使用无线网卡捕获 802.11 流量,并且使用监听模式。

Install Npcap in WinPcap API-compatible Mode(WinPcap will beuninstalled):在 WinPcap API 兼容模式下安装 Npcap,将卸载 WinPcap。

 

用户在捕获无线网络数据包时也可以根据基本信息进行捕获过滤。其中,IEEE 802.11 无线数据包是基于链路层进行过滤,可指定的传输方向为 ra、ta、addr1、addr2、addr3 和 addr4

 

捕获到的无线数据包为 3 种类型,分别是关联帧、数据帧和控制帧

 

WEP(Wired Equivalent Privacy,有线等效保密)是 IEEE802.11 标准定义的加密规范。这种加密方式包括两种认证方法,分别是开放系统认证(Open System authentication)共享密钥认证(Shared Key Authentication)

 

Airdecap-ng 是 Aircrack-ng 工具集中的一个工具,可以用来去除加密信息,使加密的数据包变成普通非加密数据包。另外,使用该工具进行解密时,捕获文件必须是.pcap 格式,不能使用 Wireshark 的默认格式.pcapng。


发布于: 2021 年 03 月 20 日阅读数: 14
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
Wireshark数据包分析学习笔记Day17