WireShark快速分析抓包技巧

目录

WireShark快速分析抓包技巧

混杂模式

概述

使用WireShark对常用协议抓包并分析原理

ARP协议


WireShark快速分析抓包技巧

  1. 确定WireShark的物理位置,如果没有一个正确的位置,启动Wireshark后会花费很长的时间捕获一些与自己无关的数据

  2. 选择捕获接口。一般都是选择连接到Internet网络的接口,这样才可以捕获到与网络相关的数据,否则,捕获到其它数据对自己也没有任何帮助

  3. 使用捕获过滤器。通过设置捕获过滤器,可以避免产生过大的捕获数据。这样用户在分析数据时,也不会受其它数据干扰。而且,还可以位用户节约大量的时间

  4. 使用显示过滤器。通常使用捕获过滤器过滤后的数据,往往还是很复杂。为了使过滤的数据包更精致,此时使用显示过滤器进行过滤

  5. 使用着色规则。通常使用显示过滤器过滤后的数据,都是有用的数据包。如果想更加突出的显示某个会话,可以使用着色规则高亮显示。

  6. 构建图表。如果用户想要更明显的看出一个网络中数据的变化情况,使用图表的形式可以很方便的展现数据分布情况。

  7. 重组数据。当传输较大的图片或文件时,需要将信息分布在多个数据包中。这时候就需要用重组数据的方法来抓取完整的数据。Wireshark的重组功能们可以重组一个会话中不同数据包的信息,或者是重组一个完整的图片或文件

混杂模式

概述

混杂模式就是接受所有经过网卡的数据包,包括不是发给本机的包,既不验证MAC地址。普通模式下网卡只接受发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。

使用WireShark对常用协议抓包并分析原理

协议分析的时候我们关闭混淆模式,避免一些干扰的数据包存在

ARP协议

地址解析协议(英语:Address Resoluntion Protocol,缩写:ARP)是一个通过解析网络层地址来找寻数据链路层地址的网络层传输协议,它在IPv4中极其重要。ARP是通过网络地址来定位MAC地址。

你可能感兴趣的:(计算机网络,wireshark,网络,网络协议)