[网络协议]流量分析（wireshark）

wireshark过滤器表达式

协议过滤

• TCP：只显示TCP协议的数据流

• HTTP：只显示HTTP协议的数据流

• ICMP：只显示ICMP协议的数据流

• ARP：只显示ARP协议的数据流

• DNS：显示DNS协议的数据流

IP过滤

• ip.addr = 192.168.116.138，只显示ip为192.168.116.138有关的数据流

• ip.src = 192.168.116.138，只显示源IP地址为192.168.116.138的数据流

• ip.dst = 192.168.116.138，只显示目标IP地址为192.168.116.138的数据流

端口过滤

• tcp.port == 80，只显示80端口TCP数据流

• udp.prot == 67，只显示67端口UDP数据流

• tcp.srcport == 80, 只显示源地址的80端口数据流

• tcp.dstport == 80，只显示目的地址80端口数据流

过滤HTTP协议

• http.request.method=="GET"，显示get请求

• http.request.method=="POST"?，显示POST请求

• http.request.url contains admin?，显示url中包含admin的 请求

• http.request.code==404，显示状态码为404

连接符

and，or

如tcp.port == 80 and ip.addr = 192.168.116.138

数据包的大致结构

• 第一行：数据包整体概述，

• 第二行：链路层详细信息，主要的是双方的mac地址

• 第三行：网络层详细信息，主要的是双方的IP地址

• 第四行：传输层的详细信息，主要的是双方的端口号。

• 第五行：TCP或UDP是传输的DATA，DNS这是域名的相关信息