Wireshark 数据包分析学习笔记 Day17
显示过滤器的基本构成包括 3 部分,分别是过滤器字段、运算符和值。
“显示过滤器表达式”对话框包括 7 部分信息,分别是字段名称、关系、值、预定义的值、范围、搜索和显示过滤器文本框。
当用户根据以太网地址显示过滤时,指定的值有 3 种形式,分别是使用冒号、点或破折号分隔 6 个字节。
使用冒号:eth.dst==ff:ff:ff:ff:ff:ff;
使用破折号:eth.dst==ff-ff-ff-ff-ff-ff;
使用点号:eth.dst==ffff.ffff.ffff。
当用户根据文本字符串显示过滤时,可以使用双引号、contains、matches、~或 &符号。
使用 contains 指定一个 UDP 头部包括三位序列 0x81、0x60 和 0x03 的包,则语法格式如下:upd contains 81:06:03
用户在使用显示过滤器时,还可以使用 in 来指定一个范围过滤器。其中,该范围过滤器的值由花括号({})括起来。例如,过滤端口为 80、443 和 8080 的包,语法格式如下:
Tcp.port in {80 443 8080}。
转换 HTTP 请求服务中包含 apache 的字符串并转换为小写,语法格式如下:
Lower(http.server) contains “apache” 。
Support loopback traffic("Npcap Loopback Adapter"will be created):支持捕获本地回环数据包。
Restrict Npcap driver's access to Administrators only:仅限制管理员可以访问 Npcap 驱动。
Support raw 802.11 traffic(and monitor mode)for wireless adapters:支持使用无线网卡捕获 802.11 流量,并且使用监听模式。
Install Npcap in WinPcap API-compatible Mode(WinPcap will beuninstalled):在 WinPcap API 兼容模式下安装 Npcap,将卸载 WinPcap。
用户在捕获无线网络数据包时也可以根据基本信息进行捕获过滤。其中,IEEE 802.11 无线数据包是基于链路层进行过滤,可指定的传输方向为 ra、ta、addr1、addr2、addr3 和 addr4。
捕获到的无线数据包为 3 种类型,分别是关联帧、数据帧和控制帧。
WEP(Wired Equivalent Privacy,有线等效保密)是 IEEE802.11 标准定义的加密规范。这种加密方式包括两种认证方法,分别是开放系统认证(Open System authentication)和共享密钥认证(Shared Key Authentication)。
Airdecap-ng 是 Aircrack-ng 工具集中的一个工具,可以用来去除加密信息,使加密的数据包变成普通非加密数据包。另外,使用该工具进行解密时,捕获文件必须是.pcap 格式,不能使用 Wireshark 的默认格式.pcapng。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/a91aeb582a51d46e9c19935a0】。文章转载请联系作者。
评论