實(shí)驗(yàn)-Wireshark捕獲過濾規(guī)則設(shè)置_第1頁
實(shí)驗(yàn)-Wireshark捕獲過濾規(guī)則設(shè)置_第2頁
實(shí)驗(yàn)-Wireshark捕獲過濾規(guī)則設(shè)置_第3頁
實(shí)驗(yàn)-Wireshark捕獲過濾規(guī)則設(shè)置_第4頁
實(shí)驗(yàn)-Wireshark捕獲過濾規(guī)則設(shè)置_第5頁
已閱讀5頁,還剩2頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

Wireshark過濾規(guī)則設(shè)置Wireshark是世界上最流行的網(wǎng)絡(luò)分析工具。這個強(qiáng)大的工具可以捕捉網(wǎng)絡(luò)中的數(shù)據(jù),并為用戶提供關(guān)于網(wǎng)絡(luò)和上層協(xié)議的各種信息。與很多其他網(wǎng)絡(luò)工具一樣,Wireshark也使用pcapnetworklibrary來進(jìn)行封包捕捉。Wireshark的優(yōu)勢:-安裝方便。-簡單易用的界面。-提供豐富的功能。

Wireshark的原名是Ethereal,新名字是2006年起用的。當(dāng)時Ethereal的主要開發(fā)者決定離開他原來供職的公司,并繼續(xù)開發(fā)這個軟件。但由于Ethereal這個名稱的使用權(quán)已經(jīng)被原來那個公司注冊,Wireshark這個新名字也就應(yīng)運(yùn)而生了。捕獲過濾器的使用可以通過wireshark數(shù)據(jù)包捕獲規(guī)則的設(shè)定,指定wireshark軟件要捕獲的數(shù)據(jù)包的特征,從而使得wireshark只捕獲用戶需要的數(shù)據(jù)包Wireshark捕獲規(guī)則的語法ipsrchost.2這條規(guī)則表示,wireshark只捕獲源IP地址為.2的數(shù)據(jù)包字段協(xié)議字段方向字段地址字段例子ipsrchost協(xié)議字段用于指出要捕獲的數(shù)據(jù)包使用的是什么協(xié)議類型可能的值:ether、ip、tcp、udp等等

如果沒有特別指明是什么協(xié)議,則默認(rèn)捕獲使用任何協(xié)議的數(shù)據(jù)包方向字段用于指出規(guī)則是要對數(shù)據(jù)包的源地址進(jìn)行匹配還是目的地址進(jìn)行匹配可能的值:src,dst,srcanddst,srcordstsrc:對數(shù)據(jù)包的源地址進(jìn)行匹配dst:對數(shù)據(jù)包的目的地址進(jìn)行匹配srcanddst:對數(shù)據(jù)包的源地址和目的地址同時進(jìn)行匹配srcordst:對數(shù)據(jù)包的源地址或目的地址進(jìn)行匹配如果沒有特別指明來源或目的地,則方向字段默認(rèn)使用“srcordst”。地址字段用于指出規(guī)則進(jìn)行數(shù)據(jù)包匹配所用的地址信息可能的值:hostIP地址或MAC地址:規(guī)則所匹配的地址(如果協(xié)議字段為ip,則此處為IP地址;如果協(xié)議字段為ether,則此處為MAC地址)port端口號:規(guī)則所匹配的端口號例子:etherdsthost00-24-1D-9F-4A-87:對目的MAC地址為00-24-1D-9F-4Audpsrcport80:對源端口號為80的udp數(shù)據(jù)包進(jìn)行捕獲實(shí)驗(yàn)內(nèi)容一、過濾IP,如來源IP或者目標(biāo)IP等于某個IP例子:ipsrchostipdsthost或者h(yuǎn)ostIP實(shí)驗(yàn):1、確定本機(jī)IP地址為。2、設(shè)置來源IP地址為本機(jī)IP地址的過濾語法并截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖,替換樣圖。(提示:可通過ping命令產(chǎn)生數(shù)據(jù)包并進(jìn)行抓包實(shí)驗(yàn))捕捉過濾器的設(shè)置圖抓包圖3、設(shè)置目的IP地址為本機(jī)IP地址的過濾語法并截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖,樣圖同上。在此截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖4、設(shè)置來源IP地址為本機(jī)IP地址,并且目的IP地址為鄰居IP地址的過濾語法并截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖,樣圖同上。在此截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖二、過濾端口例子:tcpport23捕獲TCP端口為23的封包,不管端口是源端的還是目的端tcpdstport3128捕獲目的TCP端口為3128的數(shù)據(jù)包udpsrcport12328捕獲源端TCP端口為12328的數(shù)據(jù)包srcportrange2000-2500捕獲源為UDP或TCP,并且端口號在2000至2500范圍內(nèi)的封包實(shí)驗(yàn):1、顯示捕獲的端口欄:步驟如下:(1)在顯示欄上面點(diǎn)擊右鍵,選擇columnpreference(2)彈出如下界面(3)點(diǎn)擊add,增加一行(4)增加的一行為newcolumnnumber,將newcolumn改為scrport選擇number,在fieldtype中選擇為srcport(unresolved),這樣就增加了srcport一欄。(5)同樣增加dstport一欄。選擇number,在fieldtype中選擇為destport(unresolved)最終得到的顯示欄為:三、捕獲端口號實(shí)驗(yàn)(1)設(shè)置IP上外網(wǎng),訪問學(xué)校主頁,設(shè)置捕獲來源端口號為80的過濾語法并截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖,替換樣圖。捕捉過濾器的設(shè)置圖抓包圖(2)設(shè)置捕獲端口號為80的過濾語法并截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖。在此截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖(3)設(shè)置捕獲來源為UDP,并且端口號在1024至3000范圍內(nèi)的數(shù)據(jù)包的過濾語法并截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖。在此截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖四、過濾協(xié)議例子:tcpudparpicmphttpsmtpftpdnsipoicq等等注意:應(yīng)用層的協(xié)議要通過端口號來設(shè)置捕獲過濾器。排除arp包,如!arp或者notarp實(shí)驗(yàn):1、設(shè)置捕獲僅僅采用udp傳輸?shù)臄?shù)據(jù)包的過濾語法并截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖。捕捉過濾器的設(shè)置圖抓包圖2、設(shè)置捕獲僅僅采用icmp協(xié)議的數(shù)據(jù)包的過濾語法并截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖。在此截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖3、設(shè)置捕獲僅僅采用icmp協(xié)議并且由本機(jī)發(fā)出的數(shù)據(jù)包的過濾語法并截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖。在此截兩幅圖:捕捉過濾器的設(shè)置圖和抓包圖4、思考:能否通過wireshark抓取到本機(jī)ping不通對方主機(jī)的數(shù)據(jù)包,通過設(shè)置捕獲僅僅采用icmp協(xié)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論