标签：协议 IP src ip 抓取 192.168 使用 183.131 wireshark

协议

TCP/IP协议簇

• 网络接口层（没有特定的协议）
  • 物理层（PPPOE，宽带拨号用）
  • 数据链路层
• 网络层：IP(ipv4 / ipv6) ARP（地址解析协议） RARP（逆地址解析协议） ICMP（Internet控制报文协议） IGMP
• 传输层：TCP（传输控制协议） UDP（用户数据报协议）
• 应用层：都是基于传输层协议的端口，总共端口0~65535 0~1023个协议
  • DHCP
  • DNS
  • HTTP
  • HTTPS
  • FTP
  • SMTP
  • POP3
  • IMAP

流量抓取工具（wireshark）

一、网卡

wireshark是对主机网卡上的数据流量进行抓取

1、网卡模式

• 混杂模式：不管目的是否是自己，都接收
• 非混杂模式：默认情况下，主机的网卡处于此模式，不会接收目的非自己的数据

2、两种过滤器

• 捕获过滤器：在抓包之前先进行过滤，只抓某种类型的包，或者不抓某种类型的包
• 显示过滤器：抓包前抓包后都可以进行过滤，但是不会影响抓取的包，会抓取所有的包，只不过在查看的时候只显示某些包

3、过滤器

• 捕获过滤器

  • 语法

    • 类型：host net port
    • 方向：src dst
    • 协议：ether ip tcp udp http……..
    • 逻辑运算符：&&与 ||或 ! 非

  • 例子：

    • 抓取源IP为192.168.183.131并且目标端口为80的报文

      src host 192.168.183.131 && dst port 80
      

    • 抓取IP为192.168.18.14或者IP为192.168.18.1的报文

      host 192.168.18.14 || host 192.168.18.1
      

    • 不抓取广播包

      !broadcast
      

    • 抓取源IP为192.168.183.131或者源网段192.168.183.0/24，目的tcp端口号在200到10000之间，并且目的位于119.0.0.0/8的报文

      (src host 192.168.183.131 || src net 192.168.183.0/24) && (dst portrange 200-10000 && dst net 119.0.0.0/8)
      

• 显示过滤器

  • 语法

    • 比较操作符： ==（eq） !=（neq） >（gt） <（lt） >=（ge） <= （le）
    • 逻辑操作符：and (&&) or (||) not
    • IP地址过滤：ip.addr ip.src ip.dst
    • 端口过滤：tcp.port udp.port tcp.dstport
    • 协议过滤：arp ip icmp udp …………..

  • 例子：

    • 显示源IP等于192.168.183.131并且tcp端口为80的报文

      ip.src == 192.168.183.131	and		tcp.port == 80
      

    • 显示源不为192.168.183.131或者目的不为192.168.183.2的报文

      ip.src != 192.168.183.131 or ip.dst != 192.168.183.2
      

标签：协议,IP,src,ip,抓取,192.168,使用,183.131,wireshark
来源： https://www.cnblogs.com/Xian-Yv/p/16459430.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。