CTF实战3 Wireshark网络嗅探工具使用

转载自“初音”- 玄魂工作室。
CTF实战3 Wireshark网络嗅探工具使用

转载:
一站式学习Wireshark

1.这些命令是写在上图中的过滤器中的～

TCP:TCP/IP通过三次握手建立一个连接。这一过程中的三种报文是：SYN，SYN/ACK，ACK。

[src|dst] host < host >

过滤主机ip地址或名称。通过指定src|dst关键词来确定所关注的是源地址还是目标地址
如果未指定，则指定的地址出现在源地址或目标地址中的包会被抓取

ether [src|dst] host < ehost >

过滤主机以太网地址，通过指定关键词src|dst来确定所关注的是源地址还是目标地址
如果未指定，则指定的地址出现在源地址或目标地址中的包会被抓取

ip|ether proto < protocol >

选择在以太网层或是ip层的指定协议的包

比如我们打算捕捉来自特定主机的telnet协议，我们可以这样写过滤

[tcp|udp] [src|dst] port < port]

过滤tcp,udp及端口号，可以使用src|dst和tcp|udp关键词来确定来自源还是目标，tcp协议还是udp协议，tcp|udp必须出现在src|dst之前

tcp port 23 and host 192.168.1.5

又或者我们想捕捉所有不是来自192.168.1.5的telnet通信

tcp port 23 and not src host 192.168.1.5

当然还有下面这些常用的过滤

ip.addr==10.0.0.5

ip.addr!=10.0.0.5

ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

ip.addr==10.0.0.5 xor ip.addr==192.1.1.1

not tcp

2.Wireshark的多文件连续存储

设置多文件连续存储

Use multiple files

如果指定条件达到临界值，Wireshark将会自动生成一个新文件

Next file every n megabyte(s)

如果捕捉文件容量达到指定值，将会生成切换到新文件

Next file every n minutes(s)

如果捕捉文件持续时间达到指定值，将会切换到新文件

Ring buffer with n files

仅生成制定数目的文件

Stop caputure after n file(s)

当生成指定数目文件时，停止捕捉