赞
踩
winshark是对主机网卡上的数据流量进行抓取,可以对网卡进行混杂模式和非混杂模式的抓包。
winshark可以检测到本地的所有网卡
在菜单栏-捕获->选项进入可以设置混杂模式,默认是开启的。
看报文详细内容,通过TCP/IP 五层来展现的。
追踪流:
Wireshark的跟踪数据流功能可以将捕获的数据包排好顺序使之容易查看,右键捕获的数据包并选择追踪流,假设选择HTTP流,HTTP流就会在一个单独的窗口中显示。
我们可以注意到窗口中的文字以两种颜色显示,红色用来标明从源地址前往目标地址的流量,而蓝色用来区分从目标地址到源地址的流量。以访问www.xiaodi8.com为例。
其中黑底红字的报文是错误报文,根据winshark菜单栏视图->着色规则可知,是Bad TCP
我们想快速看报文的某些字段信息,就可以设置应用为列。例如想看报文的Type类型,可以直接右击Ethernet II里面的Type,选择应用为列。
菜单栏视图->日期时间格式下有很多显示时间的格式,我们可以根据场景来选择显示时间的格式。例如当我们发现某个报文有问题时,可以设置时间格式为日期和时间从而追溯到这个报文是在哪个时间点发的。
针对某一个报文也可以设置参考时间,选中报文,右击,设置/取消设置时间参考,下面报文Time显示的就是针对上面报文的间隔时间。
默认显示Source和Destination都是IP地址的方式,可以设置成名称的显示方式
可以看到MAC地址默认是做了名称解析的,一个MAC地址前24位由厂商来代替,后面24位是厂商的序列号。
勾选网络地址和端口的名称显示后,抓包数据信息就会显示域名和端口,443就直接解析成了https
A 捕获过滤器语法
src host 192.168.2.16 && dst port 80
host 192.168.2.16 || 192.168.2.1
! broadcast
(src host 192.168.2.16 || src net 192.168.18.0/24) && (dst portrange 200-10000 && dst net 47.0.0.0/8)
B 显示过滤器语法
ip.src ==192.168.2.16 and tcp.port==443
ip.src!=192.168.2.16 or ip.dst!=47.75.212.155
开启winshark抓包,抓取所有的报文
过滤DNS的报文,找到对应的域名解析报文
根据DNS返回的IP地址,找到主机与服务器的TCP交互过程
找到客户机请求服务器的HTTP报文, 追踪HTTP流情况
2、实验过程
过滤DNS,Ctrl+N,输入域名精确查找
响应报文Answer中会显示目标IP地址为47.75.212.155
如果访问的是https的网站,报文中protocol字段就是TLS,追踪流追踪到的就是加密的内容,看不到网页响应源码。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。