Wireshark 입문 부터 정통 까지 (기초 편)
6295 단어 wireshark
필터
Wireshark 는 주로 두 가지 주요 필 터 를 제공 합 니 다.
1. 캡 처 필터 (캡 처 하기 전에 설정): 패 킷 캡 처 를 할 때 주어진 표현 식 을 포함 / 제외 하 는 패 킷 만 캡 처 됩 니 다. 예제 (네트워크 카드 를 선택해 야 합 니 다): src host 127.16.89.1012, 필터 표시 (캡 처 후 설정): 지정 한 표현 식 에 따라 캡 처 된 패 킷 집합 에 표시 하고 싶 지 않 은 패 킷 을 숨 깁 니 다.또는 필요 한 패 킷 예제 만 표시 합 니 다: ip. addr = 172.16.89.101 주의: 캡 처 필터 문법 은 libpcap / winpacp 라 이브 러 리 에서 tcpdump 의 문법 에서 파생 됩 니 다.필 터 를 표시 하 는 설정 문법 은 몇 년 후에 정의 되 기 때문에 두 가지 문법 설정 이 같 지 않 습 니 다.
Wireshark 캡 처 필터
1. BPF 문법 은 다양한 패 킷 탐지 소프트웨어 에 광범 위 하 게 응용 된다. 2. BPF 문법 을 파악 하 는 것 은 패 킷 등급 에서 네트워크 를 더욱 깊이 탐색 하 는 데 매우 중요 하 다. 3. BPF 문법 으로 만 든 필 터 를 표현 식 4 라 고 한다. 각 표현 식 은 하나 이상 의 원 어로 구성 된다. 각 원 어 는 하나 이상 의 한정 어 를 포함한다.그 다음 에 ID 이름 이나 디지털 Dst host 192.168.1.1 & tcp port 80 에 따라 표시 합 니 다. 캡 처 목적 주 소 는 192.168.1.1 이 고 소스 포트 나 목적 포트 는 tcp 80 의 패 킷 입 니 다.
Type host、net、port
Dir , src、dst
Proto ether、ip、tcp、udp、http、ftp
3 ,
1. (&& and)
2. (|| or)
3. (! not)
:
tcp portrange 100-200 tcp 100-200
tcp[tcpflags] & (tcp-syn | tcp-fin) !=0 tcp flag , syn=1, fin=1
len<=128 128
udp portrange 2000-2500 udp 2000-2500
ip[8:1]==64 tcp 8 ,
tcp[13]&32==32 URG TCP
tcp[13]&16==16 ACK TCP
tcp[13]&8==8 PSH TCP
tcp[13]&4==4 RST TCP
tcp[13]&2==2 SYN TCP
tcp[13]&1==1 FIN TCP
tcp[13]&0==0 1 TCP ,
tcp[13]&3==3 TCP SYN-FIN 1
tcp[13]&5==5 TCP RST-FIN 1
tcp[13]&6==6 TCP SYN-RST 1
tcp[2:2]>50 and tcp[2:2]<100 50-100 TCP
tcp[14:2]<8192 8192 tcp
필터 보이 기
1. 필터 식 대화 상자 (간단 한 방법) 2. 필터 식 문법 구조 (고급 방법) 3. 패키지 메 인 창 데이터 구조 영역 에서 패키지 의 속성 값 을 필터 의 필터 조건 으로 지정 합 니 다.Wireshark 필터 표현 식 의 논리 연산 자 and 두 가지 조건 을 동시에 만족 시 켜 야 합 니 다 or 그 중의 한 조건 은 xor 가 있 고 하나의 조건 만 만족 시 켜 야 합 니 다 nor 는 조건 이 만족 되 지 않 습 니 다.
wireshark
!tcp.port==3389 RDP
tcp.flags.syn==1 SYN TCP
tcp.flags.rst==1 RST TCP
!arp ARP
http http
tcp.port==23||tcp.port==21 (Telnet FTP)
smpt||pop||imap email (SMTP、POP IMAP)
ip.src_host==172.16.89.101 and http.host contains "higlab"
tcp.src==10.0.0.5 && tcp.flags.syn==1 && tcp.flags.ack==0 -- TCP , ,
ip.src==10.0.0.3&&(http.cookie||http.set_cookie) 10.0.0.3 HTTP cookie
tcp.flags.reset==1&&tcp.seq==1
tcp.flags.syn==1&&tcp.analysis.retransmission SYN
tcp.stream eq 16 && tcp.analysis.retransmission 16 TCP
tcp.stream eq 0 && (tcp.analysis.window_full||tcp.analysis.zero_window) TCP TCP
http.host== http
http.request.uri contains "baidu.com"
dns.flags.response==0 dns
디 스 플레이 필터 매크로 설정 (분석 – > 디 스 플레이 필터 매크로)
Name Text
test ip.src==$1 and tcp.dstport==$2
디 스 플레이 필터 호출 ${test: 192.168.1.1; 80} 은 ip. src = = 192.168.1.1 and tcp. dstport = = 80
기본 정보 통계 도구
Summary( )
-->
1G=1000M
1G=1024M
1024
B b 1B=8b
MTU 1500 Snap 100 ,wireshark 15
Protocol Hierarchy( ) -- ,
-->
tcp , 50%
end packets: ( )
Conversations( ) -- ,
-->Conversations
Endpoint( )
-->Endpoints
MAC ,IP : LAN IP , IP ,
IP ,TCP (TCP ) : IP TCP 。 , IP , , , TCP SYN
HTTP
-->http-->
--
-->
-- , ,
고급 정보 통계 도구
IO Graphs
-->I/O
TCP , TCP
TCP StreamGraph
-->TCP
TCP , TCP
Time-Sequence(Stevebs)
: , TCP
Time-Sequence(tcp-trace) :
UNIX tcpdump
TCP , TCP 、TCP 、 TCP
, ,
, ,TCP TCP
:
TCP :TCP ,
TCP :TCP TCP
tcp.stream eq 16 and tcp.analysis.retransmission
tcp.stream eq 16 and tcp.analysis.zero_window TCP
전문가 정보 도구 안내
-->
1.Expert Info Wireshark
2.
3.
4.Wireshark , EI , ,
1.Errors: --
, 、 ( Error ), ( TCP ), , ,Wireshark 。
2.Warnings:
, TCP 、TCP window full、TCP 、TCP , , 。
:
Wireshark , 、TCP 、TCP 。 ,Warings Wireshark , , Wireshark , Warings , , 。
3.Notes:
, TCP 、 、 。 , TCP , Notes,
:
Notes , , TCP , 、 ( 、 )、 。
Wireshark Exper Info TCP , ,
4.Chats:
5.Details: Chats
6.Packet Comments: --
1. Wireshark Warings , Notes , , ,
2.Wireshark , 、 ;
3. Wiresh , , 。
이 내용에 흥미가 있습니까?
현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:
명령-응답 메시지 동기화 이슈 (1)메시징 서버에서 타겟 시스템으로 제어 명령을 보내고 응답을 대기하는 코드에서 문제가 발생합니다. 메시징 서버에서 응답 수신 시, ChannelPromise 객체를 완료 상태로 바꾸어 주는데 이미 완료된 객체라는 예외...
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.