wireshark

XinYi发布

https://www.cnblogs.com/yuanyuzhou/p/16308963.html

一、基本介绍

TCP/IP协议分层模型
https://blog.csdn.net/HNUPCJ/article/details/106179879
https://www.cnblogs.com/yuanyuzhou/p/16308963.html

二、过滤规则

http://tech.gxcbt.com/tech/2022/0728/50772.html
https://blog.csdn.net/CLown5/article/details/126410532
https://www.cnblogs.com/linxmouse/p/13409444.html

注意抓包过滤器与显示过滤器的语法是有区别的,如抓包过滤器不能直接过滤rtsp协议,异或语法。

https://blog.csdn.net/TskyFree/article/details/41219899 (内容过滤)

1.字节偏移过滤器(*)

https://www.cnblogs.com/bigben0123/p/5019078.html
选择一个序列的子序列

  • 举例:根据tcp的data的前两个字节


可以看到tcp协议的总长度是58个字节,除去data占32个字节。所以data的偏移起始地址是32(从0开始算起),取两个字节就是tcp[32:2]

  • 举例:根据tcp的data的前4个字节(建议)
    过滤出TCP载荷中的前四个字节为0x47455420

tcp.payload[0:4]==0x47455420,注意索引从0开始,不包括索引4,和编程语言的数组很像。

!!!不同的版本可能会有差异,并不支持上面的方式。https://blog.csdn.net/jasonhongcn/article/details/85199768
两个及以上字节数的十六进制要用冒号分隔开来,如:

2.过滤技巧

  • ip过滤
    完整过滤两个ip之间的通讯
    ip.src==10.0.1.98 && ip.dst== 10.0.2.61 || (ip.src==10.0.2.61 && ip.dst== 10.0.1.98)

  • 只过滤tcp中带有数据的通讯包
    tcp.len>0 (注意这里的len是指载荷的len)

    可以根据tcp.len!=X过滤特殊的包,但是要注意通过tcp.len==X查看有没有过滤掉之外的包。

  • 一帧的数据长度
    frame.len

三、安装插件导出H264流

https://blog.csdn.net/water1209/article/details/127927245

四、常见协议抓包

1.DNS抓包

https://cloud.tencent.com/developer/article/1882913
https://blog.csdn.net/m0_73576645/article/details/134890351

分类: catch_packet(抓包工具)

0 条评论

发表回复

您的电子邮箱地址不会被公开。

相关文章

catch_packet(抓包工具)

抓包工具大全

https://cloud.tencent.com/developer 阅读更多…

catch_packet(抓包工具)

tcpdump-抓包神器

https://zhuanlan.zhihu.com/p/485321 阅读更多…

catch_packet(抓包工具)

Charles

官方下载地址: https://www.charlesproxy.co 阅读更多…