qq_43776408的博客

WireShark支持编程开发接口也就是你可以添加更多新的功能使用的编程语言就是Lua结果弹出了一个对话窗口名字叫hello world查看端口对应的协议//////////////////////WireShark注册新协议比如注册以一个叫learn的新协议，指明端口为10002到wireshark然后在该文件夹下新建一个lua文件一定要保存到全局插件中这是为了打开wireshark时可以自动加载插件代码为第一行最右边是对协议的描述，随便写第二行固定第三行第一个括号

tsharktshark -D 查看系统那些网卡-i指定网卡tshark -f “tcp dst port 80”抓取发往80号端口的tcp数据包tshark -w 文件名.cap保存到文件然后wireshark 文件名.cap打开抓取到的数据包tshark几乎覆盖了wireshark所有功能tshark -r 文件名.cap你可能会想已经有了wireshark，为啥还要有命令行工具呢因为命令行工具可以和其他工具进行结合等等优点//////////////////////除

针对vsftpd 2.3.4软件后门分析下载vsftpd之后的界面另一台虚拟机使用metaspliot最终获取了一个反弹shell最后使用wireshark抓包你会看到有四个数据包当中有两个是发送用户名和密码的你会看到登录用户名后面带有:)酷似一个笑脸然后密码随机这种漏洞也叫笑脸漏洞用户名不是随意的，后面必须带有:)才可以然后密码随机的...

这个开始步骤和你之前有一篇文章差不多将鼠标那一行前面#去掉然后值改为yes还有password那一行改为yes，去掉#配置之后在重启ssh服务ssh使用的是22号端口kali中输入命令进行pijie然后wireshark中发现很多ssh数据包表示正在pojie...

关于取证的很多题你可以在以下网站找到我们选取第一个题题目意思大致是某公司Ann走了，安全团队怀疑Ann偷走了数据。于是安全团队开始监控Ann的行为有一天，一个从未使用的笔记本使用工具AIM连接到了公司的无线网络上，但是Ann的计算机一直处于公司网络下现在安全团队捕获了那个从未使用笔记本的数据包，现在我们来分析提示：未知电脑IP是192.168.1.158数据包在原文后有下载的以下是数据包内容////////////////////////////第一步：找Ann的通信好友名称找到S

恢复传输中的JPG文件无论传输层上层是哪一种协议只要你你到了传输层就必须使用UDP和TCP协议保存的文件内容为HTTP头和图片数据现在我们用winhex.exe恢复出原图片打开winhex.exe后将文件拖到里面删除里面的HTTP头剩下的就是图片的16进制最后另存为扩展名用jpg然后会生成原来的jpg文件...

UDP协议：不需要连接，速率高，适合大文件，不可靠网络直播肯定是UDP协议UDP协议关键点：源端口，目的端口，UDP报文长度，检验码检验码确定当前数据包是否是正确的UDP数据包看下图的User Data那个你会发现UDP其实很简单//////////////////////////////UDP泛洪原理：向目标发送大量的UDP数据包hping3 -q -n -a IP地址 --udp -s 53 -p 目标端口 --flood 目标IP -d 1000-n：以数字化格式输出结果-a伪

DOS仅针对两种协议：UDP和TCP////////////////////WireShark进行分析三次握手下图的前三行都是通过TCP进行传送的SYNSYN+ACKACK比如第一行：从本机57100端口发送到目标80端口，SYN第四行表示成功第六行也表示成功///////////////////////////////////////////////TCP SYN flooding安全测试SYN—>服务服务—>SYN+ACK此时客户端不在发送ACK给服务端则服

泪滴安全测试原理：IP分片出现重合原因就是偏移不够/////////////////先找到两个同一分组的数据包看他们的Ident是否相同比如第8个和第9个下图是第8个你会看到Data是36字节但是你在看第9个数据包时才偏移了3位很明显存在泪滴漏洞...

MTU最大传输单元是1500字节一次传不完所以就要分片传输IP数据包很大情况下也无法一次性传输分片<<分组一个分组包括很多分片通过wireshark的中的Identification来查看IP分片是否属于同一个分组若值相同则为同一个分组偏位移前3位：标志位 确定是否还有更多的分片后13位：分片在原始数据的位移请看下图的Flags实际数据包的大小：数据包大小-14-2014：以太网帧20：IP头实战：ping4400下面蓝字说是第20个数据包传输1480字节（1

原理：伪造IP地址和发送畸形数据包，向目标发送畸形数据包会使得IP数据包碎片在重组的时候有重合部分，从而导致目标系统无法进行重组，进一步系统瘫痪也就是说：假设要发012345，你只发了0123，目标在接收到之后准备拼接成你要发的但是目标比较傻，它是拿345进行拼接，很明显多出了一个3，不符合。/////////////////////////////////////IP数据包组成你可以自己下一个IP数据包比如上图的最上方的链接然后打开因为你要看的是IP数据包所以找到IPV4或者IPV6

影响：ARP和DHCP在局域网中广播，占用网络资源网络性能下降原因：1.网络短路2.网络存在回路3.网卡损坏4.蠕虫病毒//////////////////说白了就是数据包在网络中来回穿梭没人要或者是有人要了但是又抛弃了反正就是数据包没有归路然后越来越多形成网络拥堵...

STP定义生成树协议（英语：Spanning Tree Protocol，STP），是一种工作在OSI网络模型中的第二层(数据链路层)的通信协议，基本应用是防止交换机冗余链路产生的环路.用于确保以太网中无环路的逻辑拓扑结构.从而避免了广播风暴,大量占用交换机的资源./////////////////////////////STP的工作过程如下：1.首先进行根网桥的选举，不断发送BPDU,由桥ID最小的为根桥2.计算每个节点到根桥的距离，并由这些路径得到各冗余链路的代价，选择最小的成为通信路径（相应

说白了就是使MAC表填满////////////////////////////使用命令macof -i eth1-i后面跟的是端口运行你会发现瞬间发送大量的数据到该端口上从而填充MAC表也就是说目标的MAC地址无缘无故多出了好多个来路不明的MAC地址新的MAC地址挤掉了原来的MAC地址所以你在PING该IP的时候会出现无法ping通///////////////////////////////补充小知识所谓“cam表”就是指二层交换机上运行的Cisco IOS在内存中维护的一张表，

MAC地址是不会变得你只是覆盖了原有的MAC地址机器重新启动后MAC又恢复原样了使用工具macchange通过MAC地址欺骗可以达到隐藏真实主机的目的//////////////////////////////////////////最后几行输入参数-s得到两个MAC地址我们只是修改第一个MAC地址即当前MAC地址第二个持久MAC地址我们是无法通过MAC地址欺骗来修改的macchange的参数列表比较暴力的是-p参数完全修改了你的MAC地址-l参数可以产看所有厂商的MAC

-i表示使用哪一个kali网卡-t后第一个我们假设欺骗的是本机windows的IP第二个IP是网关然后打开浏览器打开wireshark结果显示我们抓到了从.7发往.1的数据包个人感觉这种方法作用不大

选中指定网卡进行流量嗅探使用netdiscover软件进行配合////////////////////////////////先获取你的kaili虚拟机的ip比如192.156.4.5探测与你虚拟机处于同一网段下(即当前局域网)的主机即192.156.4.1一直寻找到192.156.4.254探测过程其实就是发送ARP请求你可以通过WireShark抓包看出来最终扫描结果发现了三台机器...

WireShark不能抓取本地网卡的流量也就是打开界面，里面没有出现localhost和127.0.0.1无论如何配置，wireshark都不能抓取本地数据所以我们可以借助第三方工具来实现使用RawCap来实现,也可以用来嗅探然后你打开浏览器假装上网产生流量之后关闭Cap这时会生成一个文件你会看到抓到了127.0.0.1的数据包...

监控某服务器的数据流即远程数据包捕获步骤：1.开启远程桌面2.rdp服务3.在系统安装wireshark进行抓包分析缺点：远程登陆时，都会产生无关与连接数据流量以上只是一种方法当然我们也可以用wireshark本身远程抓包功能来实现实现方法如下服务器端使用winpcap的rpcapd.exe开启服务客户端使用wireshark开始抓包///////////////////////////////////////////-n参数表示运行服务默认端口号2002然后打开另一个命令行

修改软件底层的一些设置编辑---首选项以下都是系统级别的设置1.修改默认打开目录Apperance----打开文件夹中的文件-----该文件夹2.Apperance-----clo可以修改列3.Name Resolution：之前只显示IP，修改之后可显示MAC和域名等等就是解析的结果变多了，更详细了4.Apperance-----Layout：设置布局5.protoc...

1.标记数据包比如你觉得哪一个数据包比较怪，就把他标记一下直接右键，第一个给不同的数据包附上不同的颜色右键-----对话着色-----然后就会有不同的协议-----你要为不同的协议附上不同的yanse通过上述修改颜色后关闭后颜色又恢复之前了你要用就修改的话就点击最上面那个花花绿绿的那个2.注释数据包右键----分组注释然后第二栏就会多出Packet comments你点击...

软件第一个栏的info是解读意思就是给你一些数据包的信息Destination就是目的地///////////////////////////你可以在第一栏增加一些信息在第二栏找一个右键，选择作为列就可以了如果你觉的你的第一栏的列的名字是英文不好你可以在第一栏的上面右键选择编辑列你可以修改第一栏的时间格式直接试图---修改时间格式---选第一个就行了查看同一个协议两个...

从第一步开始到第五步1.Win-/libpase：转包时依赖的库文件2.Capture：转包引擎，利用Win-/libpase从底层抓取网络数据包，Win-/libpase提供的转包接口，可以从不同类型的网络接口抓包3.由于抓到的包是01比特流，所以还需要一些处理Wiretap：因为抓到的包不同，肯定需要不同的文件格式，所以它是提供格式支持的，解读的4.core：核心引擎，通过...

抓包原理：本机安装wireshark后自动绑定一个网卡抓取电脑网卡进出的流量还可以通过集线器抓取整个局域网的流量另一种是交换机环境交换机环境分为端口镜像，ARP欺骗，MAC泛洪交换机属于链路层，通信完全采用mac表假设有三个主机连上交换机其中两个主机通信，其流量很难流到但是我们可以在交换机做一种策略叫span技术中文名叫端口映射也就是将流量copy一份，相当于把流量引到另...