wireshark数据包分析实战读书笔记

wireshark数据包分析实战读书笔记
1、tcpdump
wireshark
omnipeek

网络通信原理
TCP 传输控制协议
IP 互联网协议
ARP 地址解析协议
DHCP 动态主机配置协议

七层OSI参考模型
应用层  HTTP SMTP FTP Telnet
表示层  ASCII MPEG JPEG MIDI
会话层  NetBIOS SAP SDP NWLink
传输层  TCP UDP SPX
网络层  IP IPX
数据链路层 Ethernet TokenRing FDDI AppleTalk
物理层


2、
只展示262端口的出站和入站流量
port 262

只对源地址是192.168.0.10和源端口或目标端口是80的流量进行捕获
src 192.168.0.10 && port 80

捕获所有与149主机地址相关的流量
host 172.16.16.149

ether 协议限定词
ether host 172.16.16.149

dst 只捕获离开 149服务器的流量
dst host 172.16.16.149

!port 8080 捕获除8080端口外的所有流量

dst port 8080 只捕获前往8080端口的流量

icmp 流量

!ip6 非ipv6的流量

icmp[0]==3

tcp[13]&4==4 设置了RST位的TCP的数据包

upd 流量

ip.addr==192.168.0.1 只显示192.168.0.1这个IP地址相关数据包的过滤器。

http 流量

!arp 排除arp流量