1.流量包文件分析
流量包就是说所谓的传递过程中,将传递的数据抓取下来,保存成一个文件。
2.wireshark常用的过滤命令
1)ip.src eq x.x.x.x 过滤源ip
ip,dst eq x.x.x.x 过滤目的ip
ip.addr eq x.x.x.x 过滤某个ip地址
2)过滤端口
网页的端口
tcp.port eq 80 udp.port eq 80 过滤tcp或者udp的80端口流量包
tcp.dstport == 80 只显示tcp协议的目标端口为80的流量包
tcp.srccport == 80 只显示tcp协议的源端口为80的流量包
tcp.port >=1 and tcp.port <=80
3)过滤mac地址
eth.dst == A0:00:00:04:C5:84过滤目标mac
4)包长度过滤
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和。
tcp.len >= 7 指的是ip数据包tcp下面那块数据不包括tp本身。
ip.len == 94除了以太网固定长度14,其他都是ip.len,即从ip本身到最后。
frame.len == 119 整个数据包长度,从eth开始到最后。
5)http模式过滤
http.request.method == “POST” 过滤post请求
http.request.uri == “/image/logo.png”
http contains "GET"是否包含get字段
http contains “HTTP/1.”
http.request.method == “GET” && http
http contains “flag”
http contains “key”
http contains “flag”
通常打开一个流量包,先筛选一下有没有http。如果没有那麽第二件事情就是去看大致协议,看一些有没有包含flag,key 提示内容。
