分类目录归档:Wireshark

Wireshark链路层中Trailer的含义

在以太网中,每个数据包最小是64字节。如果数据包不足64字节,就会由网卡进行填充。由于填充的部分不属于实际数据,就会被Wireshark单独解析出来,以Trailer字段进行表示,称为附加数据。附加数据虽然只是为了格式需要,但也可以用来传递数据,如传递协议不支持的数据

Wireshark如何单独导出包的列信息

Wireshark提供了丰富的数据包导出功能。用户可以将数据包按照需要导出为各种格式。这些格式文件包含了包的各种信息。但是很多时候,用户只需要获取包的特定列信息,如包的长度和协议类型。这个时候,需要借助tshark这个命令行工具。它是Wireshark自带的一个工具。使用该工具,可以读取指定的抓包文[……]

Read more

HTTP基础认证Basic Authentication

Basic Authentication是一种HTTP访问控制方式,用于限制对网站资源的访问。这种方式不需要Cookie和Session,只需要客户端发起请求的时候,在头部Header中提交用户名和密码就可以。如果没有附加,会弹出一个对话框,要求输入用户名和密码。这种方式实施起来非常简单,适合路由器[……]

Read more

Wireshark抓包[TCP ACKed unseen segment]和[TCP Previous segment not captured]的含义

在Wireshark抓取TCP数据包时,Wireshark会自动标记每个数据包的作用。但有时会出现[TCP ACKed unseen segment]和[TCP Previous segment not captured]标记。出现这两个标记意味抓取的TCP握手包和挥手包不完整。由于TCP连接和断开[……]

Read more

Wireshark抓到360访问1.1.1.1的数据包

使用Wireshark抓包时,发现360向网址1.1.1.1发送HTTP请求,但是获得302响应。通过手工访问,发现该URL根本无法访问。查询IP可以发现,1.1.1.1是APNIC实验室的IP。而APNIC是一个IP地址分配机构。所以,这次请求应该是一个错误的请求。通过查询,1.1.1.1在201[……]

Read more

Wireshark获取HTTP包的完整网址

使用Wireshark可以直接抓取网页的数据包。但是在Wireshark中,不会直接显示完整的网址。它按照请求的主机和访问的网址分开显示。请求的主机表示为Host,访问的网址通常为GET或者POST两种。只要将这两部分组合起来,就是实际请求的完整的网址。
——————-[……]

Read more

Wireshark如何过滤含有data的TCP包

使用Wireshark抓取数据包时,TCP包是最为常见的。大量的应用程序使用TCP协议传输数据包,如浏览器、QQ之类。其中,TCP包中的data部分就是携带数据。为了快速找到含有data的TCP包,用户可以根据包的大小进行过滤。TCP空包大小为54字节。所以,只要大于54字节的,都是含有data的。[……]

Read more

Wireshark如何根据程序来过滤

Wireshark是从网络接口层面抓取数据包,所以不会记录是哪个程序发送的数据包。所以,默认状态下,用户无法直接根据程序来过滤数据包。用户只能根据其他方法来间接实现该功能。操作方法如下:

(1)在任务管理器中,获取程序所对应的PID。

(2)通过netstat命令,获取该PID所使用的网[……]

Read more

使用ip.addr无法进行捕获过滤

WIreshark提供的过滤器有捕获过滤器和显示过滤器两种。捕获过滤器的种类比显示过滤器少很多。同时,这两种过滤器的语法差异较大。例如,ip.addr是显示过滤器,用来根据IP地址过滤。而根据IP地址进行过滤的捕获过滤器应该是host  IP地址。

——————Wire[……]

Read more