五层 结构
应用层 运输层 网络层 数据链路层 物理层
七层结构
应用层 表示层 会话层 运输层 网络层 数据链路层 物理层
TCP/IP体系结构
应用层 运输层 网际层(ip) 网络接口层
TCP/IP体系结构 是微软的,也是现在互联网实际运用最广的。
wireshark:
Capture Option对话框
1、Interface(接口)和Link-layer header type(链路层头部)类型选项
2、Limit each packet to N bytes(将每个分组限制在N个字节以内)
3、Capture packets in promiscuous mode(在混杂模式下捕获分组)
4、Filter(过滤器)
5、Capture files(捕获文件)
6、Display Options(显示选项)
7、Stop Capture(停止捕获)
8、Name resolution(名字解析)
帧层(Frame)
在帧层(Frame),Wireshark记录真实的捕获时间、第一个分组与前一个分组的相对时间增量、帧序号、分组长度以及捕获长度。
以太网帧层
以太网的首部占用14字节,6字节目的地址和6字节源地址,2字节表示类型。
例如:以太网的类型为(08 00)。
IP层
传输层
TCP头部是20个字节。2个字节源端口和目的端口。4字节的序列号,4字节确认号。1个字节的数据偏移和标记。2个字节的窗口大小,2个字节的校验和,2个字节的紧急指针。
源端口:指定了发送端的端口
目的端口:指定了接受端的端口号
序号:指明了段在即将传输的段序列中的位置
确认号:规定成功收到段的序列号,确认序号包含发送确认的一端所期望收到的下一个序号
TCP偏移量:指定了段头的长度。段头的长度取决与段头选项字段中设置的选项
保留:指定了一个保留字段,以备将来使用
标志:SYN、ACK、PSH、RST、URG、FIN
SYN: 表示同步
ACK: 表示确认
PSH: 表示尽快的将数据送往接收进程
RST: 表示复位连接
URG: 表示紧急指针
FIN: 表示发送方完成数据发送
窗口:指定关于发送端能传输的下一段的大小的指令
校验和:校验和包含TCP段头和数据部分,用来校验段头和数据部分的可靠性
紧急:指明段中包含紧急信息,只有当U R G标志置1时紧急指针才有效
选项:指定了公认的段大小,时间戳,选项字段的末端,以及指定了选项字段的边界选项
Wireshark过滤规则:
一、IP过滤:包括来源IP或者目标IP等于某个IP
比如:ip.src addr==192.168.0.208 or ip.src addr eq 192.168.0.208 显示来源IP
ip.dst addr==192.168.0.208 or ip.dst addr eq 192.168.0.208 显示目标IP
二、端口过滤:
比如:tcp.port eq 80 // 不管端口是来源的还是目标的都显示
tcp.port == 80
tcp.port eq 2722
tcp.port eq 80 or udp.port eq 80
tcp.dstport == 80 // 只显tcp协议的目标端口80
tcp.srcport == 80 // 只显tcp协议的来源端口80
过滤端口范围
tcp.port >= 1 and tcp.port <= 80
三、协议过滤:tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包,如!ssl 或者 not ssl
四、包长度过滤:
比如:
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7 指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后
五、http模式过滤:
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
一定包含如下
Content-Type:
六、连接符 and / or
七、表达式:!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)