wireshark抓包和fiddler抓包 wireshark抓包什么意思

转载

mob6454cc673226 2024-02-15 17:48:37

WireShark 抓包

WireShark 是一个网络风包分析软件， 网络封包分析软件 的功能就是 撷取网络封包， 并尽可能显示出最为详细的 网络封包资料。 WireShark 使用 WinPCAP 作为接口，直接与网卡进行数据报文交换。

网络管理员 使用 WireShark 来检测网络问题 ，网络安全工程师 使用 WireShark 来检查资讯安全相关问题 ，开发者使用 WireShark 来为新的通讯协议除错 ，普通使用者 使用 WireShark 来学习网络协议的相关知识。当然，有的人也会"居心叵测"的用它来寻找一些敏感信息 …

（1） 确定 WireShark 的物理位置。 如果没有一个正确的位置，启动 WireShark 后会花费很长的时间捕获一些与自己无关的数据。
（2） 选择捕获接口。 一般都是先选择连接到 Internet 网络的接口，这样才可以捕获到与网络相关的数据，否则，捕获到其它数据对自己也没有任何帮助。
（3） 使用捕获过滤器。 通过设置捕获过滤器，可以 避免产生过大的捕获数据。 这样用户在分析数据时，也不会受其它数据干扰。而且，还可以为用户节约大量的时间。
（4） 使用显示过滤器。
（5） 着色规则。 通常使用显示过滤器过滤后的数据，都是有用的数据包。如果想更加突出的显示某个会话， 可以使用着色规则高亮显示。
（6） 构建图表。
（7） 重组数据。 当传输较大的图片或文件时，需要将信息分布在多个数据包中。这时候就需要使用 重组数据 的方法来抓取完整的数据。 WireShark 的重组功能， 可以重组一个会话中不同数据包的信息，或者是重组一个完整的图片或文件。

1、混杂模式概述： 混杂模式 就是接收所有经过网卡的数据包，包括不是发给本机的包，即不验证 MAC地址。 普通模式 下网卡只接收发给本机的包（ 包括广播包 ）发送给上层程序，其它的包一律丢弃。
一般来说， 混杂模式

TCP协议的 “三次握手四次挥手” ？
我们使用过滤器输入 “udp” 以筛选出 udp 报文， 但是为什么输入 udp 之后出现那么多种协议呢？ 原因就是 oicp 以及 dns 都是基于 udp 传输层之上的协议。
拓展： 客户端 DNS 服务器 查询域名 ，一般返回的内容都不超过512字节， 用 UDP 传输即可。不用经过三次握手，这样 DNS 服务器负载更低，响应更快。理论上说，客户端也可以指定向 DNS 服务器查询时用 TCP，但事实上，很多 DNS 服务器 进行配置的时候，仅支持 UDP 查询包。
筛选ip地址：ip.src_host == 192.168.1.53// 本地地址向外发送的数据包都给筛选出来了