一、抓包前提——你得有的抓啊!
1.网卡——设置为混杂环境(Promiscuous mode)
混杂模式:就是设置网卡能够 接收所有 经过它的 数据流!
网卡一般都工作在 非混杂模式 下,此时网卡只接受 目的地址指向自己的 数据。
网络管理员分析网络诊断网络时会用到混则模式,
同时网络黑客也会利用这个模式作为网络数据窃听的入口;
这里我们用WireShark进行设置 网卡混杂模式。
2.嗅探器怎样获取?
要监测,就要在网络中放一个嗅探器,嗅探器怎样才能获取数据包呢?
(1)Hub(远古):利用广播;
(2)镜像端口(常用):交换机是单播,通过软件设置,复制一份到嗅探器;
(3)网络分流器(高端):专门设备专门用于分流监测;
(4)ARP欺骗(也可以用):伪装成发送方给接收方,伪装成接收方给发送方,作为中间人获取数据;
二、第一次抓包——不说了,开干!
(1)点这个选择网卡:
(2)我们选择以太网卡:
(3)开始抓包:
参考: 简易的抓包说明.
三、过滤器——找到你所需要的包!
1.抓包过滤器——只抓想抓的!
2.显示过滤器——抓到后挑选!
按Ctrl+f 搜索:
四、过滤语法:
参考: 抓包工具wireshark过滤语法规则.
参考: wireshark过滤语法总结.
语法格式:
协议:arp、icmp、ip、tcp、udp、http、ftp、ether(以太)、
方向:src(来源)、dst(目的去向)
类型:host(主机)、port(端口)、proto(头部)
与:&&、and
或:||、or
非:!、not
等于:==、eq
不等于:!=、ne (not equal)
大于:>、 gt (greater than)
小于:<、 lt (less than)
大于等于:>=、ge (great than or equal)
小于等于:<=、le (less than or equal)
五、抓取本地的包!
https://blog.csdn.net/lykio_881210/article/details/79555135
https://blog.csdn.net/dyzhen/article/details/84525208