WireShark
收集方法
Network Taps
一个物理机器,可以在电缆直接进行物理窃听,我们可以使用这个方法进行 嗅探和捕获数据包
常见的有两种方法:
MAC Floods
不断的向交换机施加压力以填满其 CAM 数据表,一旦 CAM 数据表填满,交换机就不在接受新的 MAC 地址,为了保证网络获取,交换机将先所有端口发送数据包
ARP 中毒
通过 ARP 中毒可以将流量从主机重定向到正在监听的主机
过滤捕获
语法
Scope (范围) : host、net、port、portrange、addr
Direction (方向) : src、dst
protocol (协议) : ether、wlan、ip、ip6、arp、rarp、tcp、udp
比较运算符
逻辑操作
and
or
eq
常见基本过滤
Filter: contains
Filter: matches
Filter: in
Filter: upper
Filter: lower
Filter: string
数据包分析
wireshark 截取到的数据包由
OSI 5 到 7 层
组成
最后更新于