Wireshark 입문 부터 정통 까지 (기초 편)
6295 단어 wireshark
필터
Wireshark 는 주로 두 가지 주요 필 터 를 제공 합 니 다.
1. 캡 처 필터 (캡 처 하기 전에 설정): 패 킷 캡 처 를 할 때 주어진 표현 식 을 포함 / 제외 하 는 패 킷 만 캡 처 됩 니 다. 예제 (네트워크 카드 를 선택해 야 합 니 다): src host 127.16.89.1012, 필터 표시 (캡 처 후 설정): 지정 한 표현 식 에 따라 캡 처 된 패 킷 집합 에 표시 하고 싶 지 않 은 패 킷 을 숨 깁 니 다.또는 필요 한 패 킷 예제 만 표시 합 니 다: ip. addr = 172.16.89.101 주의: 캡 처 필터 문법 은 libpcap / winpacp 라 이브 러 리 에서 tcpdump 의 문법 에서 파생 됩 니 다.필 터 를 표시 하 는 설정 문법 은 몇 년 후에 정의 되 기 때문에 두 가지 문법 설정 이 같 지 않 습 니 다.
Wireshark 캡 처 필터
1. BPF 문법 은 다양한 패 킷 탐지 소프트웨어 에 광범 위 하 게 응용 된다. 2. BPF 문법 을 파악 하 는 것 은 패 킷 등급 에서 네트워크 를 더욱 깊이 탐색 하 는 데 매우 중요 하 다. 3. BPF 문법 으로 만 든 필 터 를 표현 식 4 라 고 한다. 각 표현 식 은 하나 이상 의 원 어로 구성 된다. 각 원 어 는 하나 이상 의 한정 어 를 포함한다.그 다음 에 ID 이름 이나 디지털 Dst host 192.168.1.1 & tcp port 80 에 따라 표시 합 니 다. 캡 처 목적 주 소 는 192.168.1.1 이 고 소스 포트 나 목적 포트 는 tcp 80 의 패 킷 입 니 다.
Type host、net、port
Dir , src、dst
Proto ether、ip、tcp、udp、http、ftp
3 ,
1. (&& and)
2. (|| or)
3. (! not)
:
tcp portrange 100-200 tcp 100-200
tcp[tcpflags] & (tcp-syn | tcp-fin) !=0 tcp flag , syn=1, fin=1
len<=128 128
udp portrange 2000-2500 udp 2000-2500
ip[8:1]==64 tcp 8 ,
tcp[13]&32==32 URG TCP
tcp[13]&16==16 ACK TCP
tcp[13]&8==8 PSH TCP
tcp[13]&4==4 RST TCP
tcp[13]&2==2 SYN TCP
tcp[13]&1==1 FIN TCP
tcp[13]&0==0 1 TCP ,
tcp[13]&3==3 TCP SYN-FIN 1
tcp[13]&5==5 TCP RST-FIN 1
tcp[13]&6==6 TCP SYN-RST 1
tcp[2:2]>50 and tcp[2:2]<100 50-100 TCP
tcp[14:2]<8192 8192 tcp
필터 보이 기
1. 필터 식 대화 상자 (간단 한 방법) 2. 필터 식 문법 구조 (고급 방법) 3. 패키지 메 인 창 데이터 구조 영역 에서 패키지 의 속성 값 을 필터 의 필터 조건 으로 지정 합 니 다.Wireshark 필터 표현 식 의 논리 연산 자 and 두 가지 조건 을 동시에 만족 시 켜 야 합 니 다 or 그 중의 한 조건 은 xor 가 있 고 하나의 조건 만 만족 시 켜 야 합 니 다 nor 는 조건 이 만족 되 지 않 습 니 다.
wireshark
!tcp.port==3389 RDP
tcp.flags.syn==1 SYN TCP
tcp.flags.rst==1 RST TCP
!arp ARP
http http
tcp.port==23||tcp.port==21 (Telnet FTP)
smpt||pop||imap email (SMTP、POP IMAP)
ip.src_host==172.16.89.101 and http.host contains "higlab"
tcp.src==10.0.0.5 && tcp.flags.syn==1 && tcp.flags.ack==0 -- TCP , ,
ip.src==10.0.0.3&&(http.cookie||http.set_cookie) 10.0.0.3 HTTP cookie
tcp.flags.reset==1&&tcp.seq==1
tcp.flags.syn==1&&tcp.analysis.retransmission SYN
tcp.stream eq 16 && tcp.analysis.retransmission 16 TCP
tcp.stream eq 0 && (tcp.analysis.window_full||tcp.analysis.zero_window) TCP TCP
http.host== http
http.request.uri contains "baidu.com"
dns.flags.response==0 dns
디 스 플레이 필터 매크로 설정 (분석 – > 디 스 플레이 필터 매크로)
Name Text
test ip.src==$1 and tcp.dstport==$2
디 스 플레이 필터 호출 ${test: 192.168.1.1; 80} 은 ip. src = = 192.168.1.1 and tcp. dstport = = 80
기본 정보 통계 도구
Summary( )
-->
1G=1000M
1G=1024M
1024
B b 1B=8b
MTU 1500 Snap 100 ,wireshark 15
Protocol Hierarchy( ) -- ,
-->
tcp , 50%
end packets: ( )
Conversations( ) -- ,
-->Conversations
Endpoint( )
-->Endpoints
MAC ,IP : LAN IP , IP ,
IP ,TCP (TCP ) : IP TCP 。 , IP , , , TCP SYN
HTTP
-->http-->
--
-->
-- , ,
고급 정보 통계 도구
IO Graphs
-->I/O
TCP , TCP
TCP StreamGraph
-->TCP
TCP , TCP
Time-Sequence(Stevebs)
: , TCP
Time-Sequence(tcp-trace) :
UNIX tcpdump
TCP , TCP 、TCP 、 TCP
, ,
, ,TCP TCP
:
TCP :TCP ,
TCP :TCP TCP
tcp.stream eq 16 and tcp.analysis.retransmission
tcp.stream eq 16 and tcp.analysis.zero_window TCP
전문가 정보 도구 안내
-->
1.Expert Info Wireshark
2.
3.
4.Wireshark , EI , ,
1.Errors: --
, 、 ( Error ), ( TCP ), , ,Wireshark 。
2.Warnings:
, TCP 、TCP window full、TCP 、TCP , , 。
:
Wireshark , 、TCP 、TCP 。 ,Warings Wireshark , , Wireshark , Warings , , 。
3.Notes:
, TCP 、 、 。 , TCP , Notes,
:
Notes , , TCP , 、 ( 、 )、 。
Wireshark Exper Info TCP , ,
4.Chats:
5.Details: Chats
6.Packet Comments: --
1. Wireshark Warings , Notes , , ,
2.Wireshark , 、 ;
3. Wiresh , , 。
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
[Wireshark] Could not create profiles directoryCould not create profiles directory 사용자명/.config/Wireshark Permission denied 위의 글을 보고 해결했다. Permission denied 인 것으로 보아 권...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.