NBNS是网络基本输入/输出系统 (NetBIOS) 名称服务器的缩写。它也是TCP/IP协议的一部分。它负责将计算机名转化为对应的IP。其中,Name query NB是请求包,Name query response NB是响应包。双方的端口号均为137。NBNS在WIndows用的较少,Wind[……]
Wireshark中NBNS包的含义
发表回复
分类目录归档:Wireshark
如何停止tcpdump抓包
tcpdump是一个非常有效的命令行的抓包工具。但是,一旦开启后,tcpdump会一直进行抓包。如果用户要停止抓包,必须手动按下Ctrl+C快捷键。用户也可以使用-c参数指定抓包的数量。当数量达到时,tcpdump会自动停止抓包,并退出。
Wireshark中expert过滤器无法使用
从Wireshark 1.12开始,expert过滤器被添加前缀_ws.。用以表示该过滤器是Wireshark自动生成,不是某个协议所专有,可以应用于各个协议。这样表示,使得过滤器的分类更明确。所以,在Wireshark新版本中,expert的过滤器必须写为_ws.expert形式。否则,Wires[……]
Wireshark数据抓包中Info列符号|的含义
在Wireshak显示抓取数据包的时候,有时Info列会显示符号|。该符号前后都有描述信息,形式如Audio Data|Audio Data。
在数据传输的时候,很多协议会将两个、甚至三个的较小的数据包合并为一个数据包进行发送。Wireshark抓取这类包后,会依次解析包中每个子包的Info,合并[……]
Kali以root用户启动Wireshark报错
错误信息:Error during loading:[string “/usr
/wireshark/init.lua”]:44: dofile has been disabled due to running Wireshark as superuser.
这是由于Wireshark为了防止以ro[……]
Wireshark抓到包全部校验错误
在使用Wireshark抓到的TCP包中,所有的包的Header checksum为0x0000,提示有错误。这会导致Wireshark对TCP包做后续处理,如重组。这种情况一般出现在抓取本机数据包的时候。
Wireshark是在数据包发给网卡之前抓取数据包。而很多网卡会自动计算校验码,所以计算机[……]
Wireshark快速找到错误包
打开抓包文件后,Wireshark会自动对包进行分析。对于错误数据包会添加专家信息(Expert Info)。专家信息中包括Servrity level项,用来表示严重级别。该项的值包括Chat(会话)、Note(提示)、Warn(警告)、Error(错误)。为了快速找到错误包,用户可以使用过滤器_[……]
Wireshark为什么捕获到Malformed Packet
Malformed Packet意思是畸形包。Wireshark根据协议报规范分析每个数据包,如果发现不符合预设规范,就判定数据包为Malformed Packet。造成这种包原因比较多,可能是各层的校验错误,也可能是发出数据设备的协议栈程序出错。对于这类问题,只能从按照数据包传输过程,挨个抓取每个[……]
Wireshark导出指定的包
使用Wireshark抓包往往会抓到大量无用的包,尤其是没有使用抓取过滤器。往往有用的包只占所有包的百分之一,甚至更少。为了便于分析,我们需要使用显示过滤器进行过滤。但过滤完后,再次打开,又恢复到过滤前的样子。如果确定要分析的包,就可以将过滤后的包单独导出来。先使用显示过滤器过滤包,然后选择文件-导[……]
什么是OUI查询
OUI是Organizationally unique identifier(组织唯一标识符)的缩写。它实际是网卡Mac地址的前6位十六进制,用来标识网卡的生产厂家。IEEE通过对企业进行认证,然后颁发6位十六进制数字给厂家。厂家生产的网卡设备Mac地址前6位就用这个标识,后6位是厂家自行分配。[……]