WireShark备忘录
大约 2 分钟
抓取网络包
抓到的包都可以导入到Wireshark中进行流量分析。
WireShak手册
https://www.wireshark.org/docs/wsug_html_chunked/
不用去买书,看手册最全,多实战分析数据包,遇到不懂的就去翻看手册相关内容。
网络层级
从上到下分别是:
物理层(数据帧)
数据链路层(以太网帧)
网络层(IP包头)
传输层(TCP)
应用层(HTTP)-选中有数据传送的数据包,右键-追送TCP/HTTP/TLS流可以查看具体网络流量数据
TCP连接状态标记字段
| 状态标记 | 状态意义 |
|---|---|
| SYN | 表示建立连接 |
| ACK | 确认响应 |
| PSH | 有DATA数据传送 |
| FIN | 表示关闭连接 |
| RST | 表示重置连接 |
WireShark提示
| 提示消息 | 意义 |
|---|---|
| TCP previous segment lost | TCP前分段丢失 |
| TCP acked lost segment | TCP应答丢失 |
| TCP window Update | TCP窗口更新 |
| TCP dup ack | TCP重复应答 |
| TCP Keep alive | TCP保持活动 |
| TCP Retransmission | TCP重传 |
| TCP Fast retransmission | TCP快速重传 |
| TCP Port numbers reused | TCP端口重复使用 |
| TCP ACKed unseen segment | TCP看不见确认应答 |
| TCP Previoussegment lost | 发送方数据段丢失 |
| TCP spurious retransmission | TCP伪重传 |
WireShark过滤器
过滤器支持所有逻辑运算符
协议:TCP、ARP、HTTP等直接写协议名即可
#IP地址过滤
ip.addr == 192.168.65.15
#源IP
ip.src=="xxx"
#目的IP
ip.dst=="xx"
着色规则
