后端开发工程师必备技能-wireshark抓包抓包原理wireshark本文主要用于记录wireshark的原理和使用方法,包括一些功能。一方面分享,另一方面自己做笔记,作为后台开发者,掌握抓包工具是必备技能之一。一、wireshark简介Wireshark(原名Ethereal)是一款网络数据包分析软件。网络数据包分析软件的作用是捕获网络数据包,并尽可能显示最详细的网络数据包信息。Wireshark以WinPCAP为接口,直接与网卡交换数据包。2、抓包抓取了哪些数据包?1、本地环境就是抓取我们电脑网卡进出的流量。2.集线器环境流量防洪,同冲突域(网域)物理层3.交换机环境是数据链路层(MAC地址表),如图所示,有几种获取数据包的方式这种环境:3.1端口镜像(SPAN)利用SPAN技术,我们可以将交换机上某些需要监控的端口(以下简称受控端口)的数据流复制一份COPY或MIRROR发送给流量分析器连接到监控端口。3.2ARP欺骗是一种针对以太网地址解析协议(ARP)的攻击技术。通过欺骗局域网内访问PC的网关MAC地址,使访问PC误认为攻击者更改的MAC地址是网关的MAC地址,从而导致网络故障。这种攻击允许攻击者获取局域网内的数据包甚至篡改数据包,可以使网络中的特定计算机或所有计算机无法正常连接。3.3MAC泛洪交换机中有一张记录MAC地址的表,为了完成数据的快速转发,该表具有自动学习机制;泛洪攻击就是攻击者利用这种学习机制不断向交换机发送不同的MAC地址,填满整个MAC表。此时交换机只能广播数据。通过这个获取信息。2.底层原理如图:3.Filter1.Packetcapturefilter也叫capturefilter。设置步骤为:选择capture->options。填写“捕获过滤器”字段或单击“捕获过滤器”按钮为您的过滤器命名并保存,以便您可以在以后的捕获中继续使用此过滤器。单击开始捕获。协议:可能的值:ether、fddi、ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp和udp。如果未指定协议,则默认使用所有支持的协议。方向:可能的值:src、dst、src和dst、src或dst如果未指定源或目标,则默认使用“src或dst”作为键。例如,“host10.2.2.2”与“srcordsthost10.2.2.2”相同。主机:可能的值:网络、端口、主机、端口范围。如果未指定此值,则默认使用“host”关键字。例如,“src10.1.1.1”与“srchost10.1.1.1”相同。逻辑运算:可能的值:not、and、or。否(“不”)具有最高优先级。or(“或”)和and(“与”)的优先级相同,运算从左到右。例如,“nottcpport3128andtcpport23”等同于“(nottcpport3128)andtcpport23”。“不是tcp端口3128和tcp端口23”与“不是(tcp端口3128和tcp端口23)”不同。注意:使用关键字作为值时,请使用反斜杠“\”。“etherproto\ip”(与关键字“ip”相同)。这将针对IP协议。“ipproto\icmp”(与关键字“icmp”相同)。这将针对icmp,它通常被ping工具使用。您可以在“ip”或“ether”之后使用“multicast”和“broadcast”关键字。当您想排除广播请求时,“不广播”很有用。2.Displayfilterdisplayfilter是根据原始或当前抓包过滤掉其他数据包,找到你需要的数据报包。如图:四、功能1、PackettrackingFollowTCPStream其实就是在这里。作为程序员,使用wireshark抓包就足够了,这些功能我们一般用的比较多。下面我只简单介绍一下功能,方便大家以后需要的时候能够尽快找到对应的功能模块。五、功能介绍1.专家信息(Analyze–>ExpertInfo)可以看到:1.对话:正常通讯的基本信息 2.注意:正常通讯时出现异常数据包 3.警告:是不是正常通信中的异常数据包(个人理解是:异常通信产生的数据包) 4.Error:数据包出错,或者解析器解析时出错2.汇总信息(Statistics-->Summary)也相当于信息汇总3.协议层分析4.网络节点统计5.数据包长度统计6.图表分析等。..这些剩下的功能我们一般可能用不到很多,掌握tracking数据流基本就够了。
