視頻鏈接https://www.bilibili.com/video/av35336089/
目錄
- 對抓取的流量包進行簡單的說明
- Wireshark的捕獲過濾器和顯示過濾器
內容
1.對抓取的流量包進行簡單的說明
這里主要是對之前抓取進行一些簡單的說明
- 流量包的顏色
我們打開流量包的時候可以看到,抓取的流量包中分組的顏色可能存在差異,那么這些不同的顏色有什么含義呢?什么是分組?在數據包列表中一列就是一個分組
這時候可以在視圖->着色規則中進行查看,這里就詳細的寫出了不同顏色代表的含義,這些都是wireshark規定好的,當然你也可以自己進行修改和添加,這里可能有部分顏色的含義看不懂如:HSRP State Change,Spanning Tree Topology Change等。這里建議可以暫時不用去管,后面我會講。
- 查看整個流量行為
這個的意思是比如我之前流量包抓取的內容就是訪問geekfz.cn產生的流量,但是在Wireshark里查看都是一列列的顯示,如何查看整個通信之間的情況,我們這時候就可以先選擇一個TCP的分組,然后右鍵->追蹤流->tcp,這時候就會顯示一個通信的詳細數據。為什么要看詳細數據呢?就我個人使用的時候而言,在分析下載病毒的時候可以從這里查看完整的數據,在對挖礦流量進行過濾檢查的時候可以從這里提取到過濾規則。
2.Wireshark的捕獲過濾器和顯示過濾器
首先wireshark的過濾器是什么?通過一些簡單的指令,可以捕獲到想要的流量。比如我只想要TCP流量,那么就可以通過過濾器來獲得只有TCP流量的數據包。這里僅僅介紹兩個過濾器的一些基本概念,至於如何使用一些過濾函數和技巧,我們后面會講
捕獲過濾器在選擇接口的時候輸入條件命令,啟動捕獲時只捕獲條件命令里的內容(不捕獲條件外的封包)
顯示過濾器在已經捕獲到的封包里顯示自己想要看到的封包(捕獲條件外的封包)
