wireshark基础

Wireshark基础

1.常见操作及位置

• 时间功能

• 地址解析
  

• 内部协议及识别协议的方法
  

• 显示过滤器和专家信息
  

• 统计及绘图
  

• 防火墙规则和 lua语言
  

• 首选项
  

2.显示过滤器

2.1 打开方式

• 过滤器工具栏（主页面工具栏下方（比较常用））
• 分析 ==> Display Filter (显示过滤器)
• 分析 ==> Display Filter Expression(显示过滤器表达式)
• 点击相关数据包后，选择某一字节作为过滤器

2.2 语法（伯克利包过滤规则）

• 官方手册：https://www.wireshark.org/docs/wsug_html_chunked/
• 过滤器表达式由一个或多个原语组成。原语通常由一个id(名称或数字)和一个或多个限定符组成
• type：限制id名称，例如：host、net、port、portrange
• dir：表示方向，例如：src、dst、src and dst、 ra、ta、addr1、addr2
• proto：限制协议，例如：ether、fddi、 tr、 wlan、 ip、 ip6、 arp、 rarp、 decnet、 tcp and udp.
• 顺序：[proto] [dir] [type]
• 常用规则：
  • https://www.tcpdump.org/manpages/pcap-filter.7.html
  • https://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html
  • dst/src host <host>、host <host>、ether dst/src <ehost>、gateway host <host> 、dst/src net <net(子网)>、
  • dst/src port <port>、port <port>、dst/src portrange <port1-port2>
  • less <length>、greater <length>
  • ip proto <protocol>、ip6 proto <protocal>、tcp、udp、icmp

专家模式

TCP追踪流

协议分级

conversation

流量图

• 首选项 ==》 protocol：
  • 通过对协议的显示进行配置，打开或关闭某些功能，具体使用看环境

补充

• maxmind（ip==>地理位置）
• https://dev.maxmind.com/geoip/
• 取证CTF：
• http://forensicscontest.com/
• base64解密后转文件：
• https://www.motobit.com/util/base64-decoder-encoder.asp