精品国产人成在线_亚洲高清无码在线观看_国产在线视频国产永久2021_国产AV综合第一页一个的一区免费影院黑人_最近中文字幕MV高清在线视频

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

Wireshark幾個常用技巧

strongerHuang ? 來源:CSDN-假面生 ? 2023-05-23 17:49 ? 次閱讀

經典的開源的網絡抓包工具 Wireshark 相信大部分人(或者搞過網絡)的人都知道它,用過的人基本了解它的強大功能。

1、數據包過濾

a. 過濾需要的IP地址 ip.addr==

765e616e-ec2f-11ed-90ce-dac502259ad0.jpg

b. 在數據包過濾的基礎上過濾協議ip.addr==xxx.xxx.xxx.xxx and tcp

7676baa2-ec2f-11ed-90ce-dac502259ad0.jpg

c. 過濾端口ip.addr==xxx.xxx.xxx.xxx and http and tcp.port==80

76839f92-ec2f-11ed-90ce-dac502259ad0.png

d. 指定源地址 目的地址ip.src==xxx.xxx.xxx.xxx and ip.dst==xxx.xxx.xxx.xxx

76a53d00-ec2f-11ed-90ce-dac502259ad0.png

e. SEQ字段(序列號)過濾(定位丟包問題)

TCP數據包都是有序列號的,在定位問題的時候,我們可以根據這個字段來給TCP報文排序,發現哪個數據包丟失。

SEQ分為相對序列號和絕對序列號,默認是相對序列號顯示就是0 1不便于查看,修改成絕對序列號方法請參考第三式。

76b90bfa-ec2f-11ed-90ce-dac502259ad0.jpg

2、修改數據包時間顯示

有些同學抓出來的數據包,時間顯示的方式不對,不便于查看出現問題的時間點,可以通過View---time display format來進行修改。

修改前:

76c9673e-ec2f-11ed-90ce-dac502259ad0.jpg

修改后:

76e70e74-ec2f-11ed-90ce-dac502259ad0.png

76f232f4-ec2f-11ed-90ce-dac502259ad0.png

3、確認數據報文順序

有一些特殊情況,客戶的業務源目的IP 源目的端口 源目的mac 都是一樣的,有部分業務出現業務不通,我們在交換機上做流統計就不行了,如下圖網絡架構。箭頭是數據流的走向,交換機上作了相關策略PC是不能直接訪問SER的。

76fedfc2-ec2f-11ed-90ce-dac502259ad0.png

那我們在排查這個問題的時候,我們要了解客戶的業務模型和所使用得協議,很巧合這個業務是WEB。我們從而知道TCP報文字段里是有序列號的,我們可以把它當做唯一標示來進行分析,也可以通過序列號進行排序。

一般抓出來的都是相對序列號0 1不容易分析,這里我們通過如下方式進行修改為絕對序列號。

Edit-----preference------protocols----tcp---relative sequence numbers

77132892-ec2f-11ed-90ce-dac502259ad0.jpg

修改參數如下:

7722a36c-ec2f-11ed-90ce-dac502259ad0.png

我拿TCP協議舉例

774559ac-ec2f-11ed-90ce-dac502259ad0.jpg

把TCP的這個選項去除掉

775652ac-ec2f-11ed-90ce-dac502259ad0.jpg

最后的效果:

776a3f4c-ec2f-11ed-90ce-dac502259ad0.jpg

4、過濾出來的數據包保存

我們抓取數據包的時候數據量很大,但對于我們有用的只有幾個,我們按條件過濾之后,可以把過濾后的數據包單獨保存出來,便于以后來查看。

77836b84-ec2f-11ed-90ce-dac502259ad0.png

779cc3b8-ec2f-11ed-90ce-dac502259ad0.jpg

5、數據包計數統計

網絡里有泛洪攻擊的時候,我們可以通過抓包進行數據包個數的統計,來發現哪些數據包較多來進行分析。

Statistics------conversations

77b14bda-ec2f-11ed-90ce-dac502259ad0.png

77c3f44c-ec2f-11ed-90ce-dac502259ad0.jpg

6、數據包解碼

IPS發送攻擊日至和防病毒日志信息端口號都是30514,SecCenter上只顯示攻擊日志,不顯示防病毒日志。查看IPS本地有病毒日志,我們可以通過在SecCenter抓包分析確定數據包是否發送過來。

發過來的數據量比較大,而且無法直接看出是IPS日志還是AV日志,我們先把數據包解碼。

(由于沒有IPS的日志抓包信息,暫用其他代替)

解碼前:

77db8c42-ec2f-11ed-90ce-dac502259ad0.jpg

解碼操作:

78019fae-ec2f-11ed-90ce-dac502259ad0.png

7817d486-ec2f-11ed-90ce-dac502259ad0.png

解碼后:

7828c2f0-ec2f-11ed-90ce-dac502259ad0.jpg

7、數據包報文跟蹤

查看TCP的交互過程,把數據包整個交互過程提取出來,便于快速整理分析。

784b1152-ec2f-11ed-90ce-dac502259ad0.png

785b513e-ec2f-11ed-90ce-dac502259ad0.jpg

8、通過其查看設備的廠家

查看無線干擾源的時候,我們可以看出干擾源的mac地址,我們可以通過Wireshark來查找是哪個廠商的設備,便于我們快速尋找干擾源。

例如:mac地址是A4-4E-31-30-0B-E0

7877c88c-ec2f-11ed-90ce-dac502259ad0.jpg

我們通過Wireshark安裝目錄下的manuf文件來查找

78906144-ec2f-11ed-90ce-dac502259ad0.jpg



審核編輯:湯梓紅

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 網絡
    +關注

    關注

    14

    文章

    7523

    瀏覽量

    88650
  • ip地址
    +關注

    關注

    0

    文章

    295

    瀏覽量

    17010
  • 端口
    +關注

    關注

    4

    文章

    955

    瀏覽量

    32016
  • 數據包
    +關注

    關注

    0

    文章

    253

    瀏覽量

    24367
  • Wireshark
    +關注

    關注

    0

    文章

    49

    瀏覽量

    6498

原文標題:Wireshark幾個常用技巧

文章出處:【微信號:strongerHuang,微信公眾號:strongerHuang】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    Wireshark抓包和Tcpdump抓包實例分析

    wireshark是開源軟件,可以放心使用。可以運行在Windows和Mac OS上。對應的,linux下的抓包工具是 tcpdump。使用wireshark的人必須了解網絡協議,否則就看不懂wireshark了。
    的頭像 發表于 02-01 09:31 ?2992次閱讀

    wireshark(1)——ubuntu下解決wireshark權限問題

    wireshark要監控eth0,但是必須要root權限才行。但是,直接用root運行程序是相當危險,也是非常不方便的。解決方法如下: 1.添加wireshark用戶組 sudo groupadd
    發表于 01-08 10:18

    wireshark2——ubuntu系統下wireshark普通用戶抓包設置

    dumpcap需要root權限才能使用的,以普通用戶打開WiresharkWireshark當然沒有權限使用dumpcap進行截取封包。雖然可以使用 sudo wireshark 但是,以
    發表于 01-08 10:19

    如何使用WireShark進行網絡抓包

      如何使用WireShark進行網絡抓包:準備工作、wireshark 主界面介紹、封包列表介紹
    發表于 04-02 07:05

    Wireshark中文簡明使用教程

    Wireshark中文簡明使用教程
    發表于 12-29 11:33 ?0次下載

    幾個常用電路

    本文將介紹幾個常用電路,詳情請看下文。
    的頭像 發表于 03-04 15:02 ?1.6w次閱讀
    <b class='flag-5'>幾個</b><b class='flag-5'>常用</b>電路

    Ubuntu16.04 LTS下apt安裝WireShark

    Ubuntu16.04 LTS下apt安裝WireShark安裝與配置首先通過apt安裝WireShark:$ sudo apt install wireshark會同時安裝許多
    發表于 04-02 14:32 ?394次閱讀

    如何使用WireShark進行TCP三次握手

    WireShark是一種非常方便的網絡抓包工具,下面演示,使用WireShark來抓取TCP的三次握手過程。
    的頭像 發表于 11-01 09:50 ?2104次閱讀

    在Ubuntu下如何使用wireshark抓包?

    Wireshark(前稱Ethereal)是一個網絡封包分析軟件。
    的頭像 發表于 02-22 09:26 ?4528次閱讀

    WireShark 的 IzoT 插件

    WireShark 的 IzoT 插件
    發表于 03-13 19:29 ?2次下載
    <b class='flag-5'>WireShark</b> 的 IzoT 插件

    WireShark常用操作

    WireShark是一個網絡封包分析軟件。網絡封包分析軟件的功能是擷取網絡封包,并盡可能顯示出最為詳細的網絡封包資料。Wireshark使用WinPCAP作為接口,直接與網卡進行數據報文交換。在網
    的頭像 發表于 05-26 15:16 ?665次閱讀
    <b class='flag-5'>WireShark</b>的<b class='flag-5'>常用</b>操作

    超詳細的WireShark抓包使用教程

    Wireshark是非常流行的網絡封包分析軟件,可以截取各種網絡數據包,并顯示數據包詳細信息。
    的頭像 發表于 06-06 09:22 ?6395次閱讀
    超詳細的<b class='flag-5'>WireShark</b>抓包使用教程

    WireShark 的 IzoT 插件

    WireShark 的 IzoT 插件
    發表于 07-04 20:46 ?0次下載
    <b class='flag-5'>WireShark</b> 的 IzoT 插件

    wireshark是什么軟件 wireshark安裝教程

    Wireshark 是網絡包分析工具。網絡包分析工具的主要作用是嘗試捕獲網絡包, 并嘗試顯示包的盡可能詳細的情況。 你可以把網絡包分析工具當成是一種用來測量有什么東西從網線上進出的測量工具,就好像
    發表于 09-13 16:26 ?0次下載

    Wireshark抓包原理及使用教程

    Wireshark使用的環境大致分為兩種,一種是電腦直連網絡的單機環境,另外一種就是應用比較多的網絡環境,即連接交換機的情況。 「單機情況」下,Wireshark直接抓取本機網卡的網絡流量; 「交換機情況」下,Wiresha
    的頭像 發表于 11-19 15:05 ?5993次閱讀
    <b class='flag-5'>Wireshark</b>抓包原理及使用教程