下载Wireshark:
https://www.wireshark.org/
选择要监听的网卡
用户界面
数据包分层结构
关于过滤器
分为 显示过滤器 和 捕获过滤器
显示过滤器:过滤已捕获的数据包,符合条件的进行显示
ip.addr == ip地址 # 过滤所有与该网站相关的数据包ip.addr == ip地址 && http # 按照协议进行过滤ip.addr == ip地址 && http && tcp.port == 80# 按照端口进行过滤
#按内容过滤:选择想要的数据或参数,右键->“作为过滤器应用”->选择逻辑判断
模糊匹配:
_ws.col.info contains "想要匹配的参数"
捕获过滤器:只捕获符合条件的数据包
点击捕获->选择想捕获的类型
应用
1、查看arp
网络中的设备都有一个APR缓存表,存储了其它网络设备IP地址与MAC地址的对应关系。当发送设备向目标设备发送信息时,首先会检索APR缓存表来查找目标设备的MAC地址。若缓存表中没有存储,发送设备会在本地网络上广播发送一个ARP请求,目标设备接受后以单播方式进行ARP应答。这样发送设备便获得了目标设备的MAC地址,可以发送信息,同时也会更新自己的ARP缓存表。
过滤条件:arp
2、查看DNS
设置了阿里云DOH(223.5.5.5)后,抓包发现数据进行了加密
过滤条件:dns && ip_addr = 223.5.5.5
3、三次握手、数据通信、四次挥手
4、TLS
