数据流追踪
- 我们的一个完整的数据流一般都是由很多个包组成的,
- 查看某条数据包对于的数据流的方法: 右键——>追踪流 然后就会有TCP流、UDP流、SSL流、HTTP流 当你这个数据包是属于哪种流,就可以选择对应的流
- 当我们选择了追踪流时,会弹出该流的完整数据流。还有这个数据流中包含的数据包。
- 顶部的过滤器就是该流的过滤规则
专家信息说明
- 功能:可以对数据包中特定的状态进行警告说明。 错误(errors) 警告(Warnings) 标记(notes) 对话(chats)
- 菜单栏:分析——>专家信息
数据包的统计分析
- 菜单栏:统计一栏中,可以对抓取的数据包进行进一步的分析,
- 比如抓取的数据包的属性、已解析的地址、协议分级等等
- 已解析的地址 功能:统计通信流量中已经解析了的地址 菜单栏:统计——>已解析的地址
-
- 协议分级 功能:功能:统计通信流量中不同协议占用的百分比 菜单栏:统计->协议分级
-
- 统计摘要说明 功能:功能:可以对抓取的数据包进行全局统计,统计出包的一些信息 菜单栏:统计->捕获文件属性
-
数据包分析过程中的一些小技巧
- 大量404请求——>目录扫描
- 大量 select....from 关键字请求——>SQL注入
- 连续一个ip的多端口请求或多个ip的几个相同端口请求——>端口扫描
- 黑客通过爆破账户和密码,则是post请求 http.request.method==POST
- 黑客修改文件, ip.addr==219.239.105.18 and http.request.uri matches "edit|upload|modify"
- 如果是用菜刀连接的包,则是post请求 ip.addr==219.239.105.18 and http.request.method==POST
- 点击下面获取学习链接 wireshark安装及网卡配置 wireshark数据包过滤 Wireshark 窗口介绍 Wireshark抓包TCP包头分析 Wireshark数据流追踪和信息说明 Wireshark抓包页面的登录信息
