做网站都需要哪些软硬件,免费建企业网站,创建网站超市,外链怎么发0x0 Wireshark 介绍
Wireshark 是一款功能强大的网络分析工具#xff0c;适用于网络专业人员。它提供了出色的过滤器#xff0c;您可以轻松放大到您认为可能存在问题的位置。过滤器的主要好处是消除定位流量#xff0c;并缩小要查找的数据类型。
0x1 根据源 IP 地址过滤主…0x0 Wireshark 介绍
Wireshark 是一款功能强大的网络分析工具适用于网络专业人员。它提供了出色的过滤器您可以轻松放大到您认为可能存在问题的位置。过滤器的主要好处是消除定位流量并缩小要查找的数据类型。
0x1 根据源 IP 地址过滤主机
查找属于某个发送者、某个源IP流量的所有数据包时我们会使用下面的过滤器方式
ip.src192.168.1.4每当我们在过滤命令框中输入任何命令时如果命令正确搜索框会变成绿色否则会变成红色如下
0x2 根据目标 IP 地址过滤主机
查找目标主机接收者。
ip.dst 192.168.1.40x3 过滤来自特定 IP 的数据包
ip.addr 192.168.1.40x4 过滤两个主机之间的对话
有时我们只需要关注两个主机之间的数据包。我们将使用下面的过滤器。
ip.addr eq 192.168.1.4 and ip.addr eq 23.217.250.580x5 过滤子网
Wireshark 允许您指定网络及其子网长度。当我们想要查看进出网络的数据包时我们需要该过滤器。
ip.addr 192.168.1.0/240x6 过滤 IP 地址范围
当我们需要过滤仅属于几个主机的数据包时。我们将使用下面的过滤器。
ip.addr 192.168.1.0 and ip.addr 192.168.1.100x7 过滤主机或子网
有些主机可能会产生大量的数据包这会分散我们在故障排除时的注意力。我们使用以下显示过滤器来显示所有在源或目标字段中不包含特定 IP 的数据包。
为了过滤掉host: !(ip.addr192.168.1.4)
相同的逻辑也可用于过滤子网 !(ip.addr192.168.1.4/24)0x8 过滤大于 1500 字节的数据包默认 MTU 大小
网络 MTU 大小经常是问题的根源。因此我们可能需要检查是否有大于默认 MTU 大小的数据包。
ip.len 15000x9 过滤不应分片的数据包
某些应用程序不希望其数据包在网络中被碎片化。当路径上的设备路由器、防火墙、交换机等收到这些数据包时它们会检查这些数据包是否大于 MTU 大小如果是设备会丢弃这些数据包从而导致故障。可以使用以下过滤器。
ip.flags.df 10x10 过滤损坏的数据包
16 位报头校验和字段用于 IPv4 报头的错误检查。在传输过程中数据包的 IP 报头可能会损坏从而导致数据包丢失。校验和用于检测损坏的数据包。下面的过滤器可用于查找这些数据包。当 IP 校验和被卸载时可以在 Wireshark 中看到相同的警告这意味着数据包没有损坏。
ip.checksum_bad.expert0x11 过滤广播和多播数据包
广播或多播风暴是指短时间内广播数据包数量异常高导致网络故障。检查这些数据包的比例可以了解风暴和网络环路。以下过滤器用于查找多播和广播数据包。
eth.dst.lg 1或eth.addr ff:ff:ff:ff:ff:ff0x12 仅过滤 IPv4 数据包
有时我们需要过滤掉广播、多播、IPv6 数据包以便我们专注于相关数据包。下面的过滤器用于仅显示 IPv4 数据包。
ip0x13 仅过滤 IPv6 数据包
IPv6 是“Internet 协议版本 6”的缩写。IPv6 是 IETF 设计的“下一代”协议用于取代当前的 Internet 协议版本、IP 版本 4 或 IPv4。当使用高流量链接时我们可能需要仅过滤 IPv6 流量。以下过滤器可用于此目的。
0x14 过滤指定dns域名攻击流量
病毒攻击时常用过滤手段针对域名的攻击行为
eth.addr 服务器MAC地址 and dns.qry.name fget-career.cometh.addr 服务器MAC地址 and !(ip.dst 做镜像的服务器IP地址) and ((dns.qry.name matches 域名) or (dns.qry.name matches 域名))
