TCP/IP協議族里的協議眾多 要一一精通比較困難,在一些緊急急需要分析主機、客戶端的流量場景時,不懂協議也要上!下面就是用到哪里就記錄到哪,有錯誤歡迎評論指出,多謝,
wireshark這玩意相當于電腦的總網路代理,不像burpsuite只有只能攔截瀏覽器的http/https兩種協議,電腦上使用的幾百種協議,他都能給你攔截下來,問題也隨之產生了,那么多協議,那么多資料包,幾乎一秒好幾百條資料包,新手看到這資料像瀑布一樣的場面,膽小估計都得嚇尿了,不要慌,跟著老夫一把梭,
你就把他當成mysql資料庫,里面的庫、表、欄位、資料非常多,必須通過精確的過濾語法把想要的資料過濾出來才能得到發包、回應包,進行分析,如果不會過濾,那么這個神器也和你沒什么關系,
使用這玩意的情景,很多時候下是不知道客戶端使用了什么鬼協議,在定出大致范圍的時候,清空包,然后快速點擊客戶端的一個發包功能,wireshark會攔截到前面的位置,這樣就好定位出來了,然后在通過分析TCP流,查看是什么協議,在進行過濾,
選擇網卡
wireshark是捕獲機器上的某一塊網卡的網路包,當你的機器上有多塊網卡的時候,你需要選擇一個網卡,
用wifi 就選wi-fi:en0
en0就是你的網卡標識,
用有線網線的話,看看標識是什么,我好久沒用過有線了,
如果你知道服務器的ip
# Source 為本機的地址
# 過濾 Source欄位為: 10.161.114.198 的資料
ip.src eq 10.161.114.198
# Destination 表示 服務器的地址
# 過濾 Destination欄位為: 10.161.204.10 的資料
ip.dst eq 10.161.204.10
每條記錄都有如下協議層
(1) Frame: 物理層的資料幀概況
(2)Ethernet II: 資料鏈路層以太網幀頭部資訊
(3)Internet Protocol Version 4: 互聯網層IP包頭部資訊
(4)Transmission Control Protocol: 傳輸層的資料段頭部資訊,此處是TCP
(5)Hypertext Transfer Protocol: 應用層的資訊,此處是HTTP協議
應用層的資訊,都是二進制亂碼,看個卵,
不要怕,右鍵Follow——>TCP Stream,還是能看到一些資料的,
攔截TCP報頭
捕獲過濾器中填入運算式:host www.cnblogs.com and port 80(80等效于http)
會有多個TCP流時在顯示過濾器中,這時填入運算式:tcp.stream eq 0 篩選出第一個TCP流(包含完整的一次TCP連接:三次握手和四次揮手)
tcp.stream eq 0
如果你知道使用什么協議---http協議攔截舉例
-
過濾http,并且清理一下歷史資料
-
隨便打開一個域名
-
分析包
我也不知道為什么http 也會叫OCSP協議,至少格式還是一樣的,先不管,
-
分析TCP流,熟悉的格式又回來了,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/24537.html
標籤:其他