WireShark 抓包及快速定位数据包技巧
- 常见协议包
ARP 、ICMP 、TCP 、 UDP 、DNS 、 HTTP - 使用 WireShark 进行抓包
(1)启动 WireShark,选择网卡:
(2)双击网卡之后就会自动进行抓包
- 混杂模式介绍
(1)混杂模式概述:混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包,即不验证 MAC 地址。普通模式下网卡只接收发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。 一般来说,混杂模式不会影响网卡的正常工作,多在网络监听工具上使用。
(2)关闭和开启混杂模式方法 关闭和开启混杂模式前,需要停止当前抓包。如下,停止捕获。
在程序的工具栏中点击“ 捕获 ”—》“ 选项 ”
在选项设置界面中的“ 输出 ”设置栏的左下方勾选“ 在所有接口上使用混杂模式 ”
这样就开启了。默认就是开启混杂模式。
-
WireShark 的过滤器使用
我们开启混淆模式来做一下感受,我们再次捕获—在所有接口上使用混杂模式就可以直接进行抓包
-
下面我们打开浏览器访问以下百度
-
访问完成后点击停止抓包即可
-
怎么才能找到对应的数据包类型呢?
这里就是我们的过滤器,
我们可以根据自己的条件筛选自己想要的数据包。
例 1:使用过滤器筛选 TCP 的数据包
注意:筛选条件我们都使用小写就好了,大写的话会不识别。
例 2:使用过滤器筛选 arp 的数据包
扩展:
客户端向 DNS 服务器查询域名,一般返回的内容都不超过 512 字节,用 UDP 传输即可。不 用经过三次握手,这样 DNS 服务器负载更低,响应更快。理论上说,客户端也可以指定向 DNS 服务器查 询时用 TCP,但事实上,很多 DNS 服务器进行配置的时候,仅支持 UDP 查询包。