wireshark笔记

最新推荐文章于 2024-01-02 19:29:04 发布
最新推荐文章于 2024-01-02 19:29:04 发布
阅读量407 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/skyleemon/article/details/80531036
本文探讨了多种网络故障现象及解决方法,包括Linux系统卡顿、服务器端口随机变化等问题,并深入分析了TCP协议特性如三次握手、序列号调整等,还介绍了QUIC等新型协议,以及DDoS攻击防范措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 linux为什么卡住了?
过滤3号包到10号包:
frame.number>=3 && frame.number<10

PTR:反向解析

DNS服务器:

DNS查询行为定义:
/etc/ssh/ssh_config | grep -i usedns

2 像福尔摩斯一样思考
问题:服务器端口会随机变化
结论:防火墙配置错误

问题:防火墙也有mac地址?
MAC地址与默认网关的关系?
Syn Flood攻击?

3 一篇关于VMware的文章(多看几遍)

问题:
iSCSI存储阵列?
延迟确认?如何关闭延迟确认?

4 来点有深度的
1 TCP SAKE(Selective Acknowledgement)
2 tcp.analysis.ack_rtt > 0.2 and tcp.len = 0

5 三次握手的小知识
这里写图片描述

序列号调整(绝对值变相对值):
Edit->Preferences->Protocols->TCP,勾选Relative Sequence Numbers即可

两道过滤表达式定位出大多数失败的握手:
1) (tcp.flags.reset == 1) && (tcp.seq == 1),右键选中过滤出来的包,再点击Follow TCP Stream
2) (tcp.flags.syn == 1) && (tcp.analysis.retransmission), 右键选中过滤出来的包,再点击Follow TCP Stream
在用上面两个过滤表达式之后,还要使用两端同时抓包分析

DDos:Distributed Denial of Service 分布式拒绝服务器攻击

问题:
QUIC?

6 最经典的网络问题
TCP zero windows
愚笨窗口综合症(silly window syndrom)
纳格算法(Nagle)
这里写图片描述

7 虚惊一场(多看几遍)
8 NTLM协议分析
NT LAN Manager
域控(Domain Controller)

Wireshark笔记
小勇的博客
06-12 756
抓包捕获:Capture–>Interface–>网卡 数据过滤:Filter过滤规则 协议统计/ip统计/端口统计(Statistics) 搜索功能(Ctrl+F)Display Filter:显示过滤器,用于查找指定协议所对应的帧 Hex Value:搜索数据中十六进制字符位置 String:字符串搜索.Packet list:搜索关键字匹配的info所在帧的位置.Packet details:
超详细的wireshark笔记(2)-wireshark的使用技巧
weixin_46622350的博客
05-28 2035
抓包 1.只抓包头 一般能抓到的每个包(称为“帧”更准确,但是出于表达习惯,本书可能会经常用“包”代替“帧”和“分段”)的最大长度为1514字节,启用了Jumbo Frame(巨型帧)之后可达9000字节以上,而大多数时候我们只需要IP头或者TCP头就足够分析了。在Wireshark上可以这样抓到包头。 新版本的wireshark(2.x以后)的Options对话框变化比较大,限制单包的方法是:捕获->选项,找到要抓包的接口,选中它,找到列表标题中的捕获长度(B),单击对应栏,发现变为可输...
Wireshark学习笔记
06-22
自己写的一个学习笔记,感觉还可以,希望对学习wireshark的同学有帮助。
wireshark 学习笔记
weixin_41539438的博客
07-24 853
接下来是一个httpGET请求请求(客户端开始向服务要东西啦)服务器赶紧把客户端要的东西给它(ASK),本次对话结束。先看一下花花绿绿的颜色表示什么打开视图→着色规则。要的东西发给服务器的要求有多大呢?/login(登录页面)...
wireshark初学笔记
weixin_63834991的博客
01-02 559
主动断开是在已经连接的情况,ack确定消息,请问是不是要断开,发送断开指令过来,fin结束标记,现在还没正式断开,可能数据操作没传完,有一个等待过程等待数据传完,等待完成后,会有一个确定传完的消息,OK了,可以断开连接了。找百度或者其他网址,主机广播发送给所有电脑,在寻找网关的时候黑客电脑比你找网关的速度快,告诉你黑客电脑就是网关,然后就会连接到黑客电脑上,黑客电脑不是网关,上不了网,电脑就断网了。上百度,先在网页上输入百度,然后发送到网关,网关发送给百度服务器(核心是确认物理地址是否真实)
WireShark 使用笔记(一)
Whitehua
03-02 353
WireShark 使用笔记 WireShark 使用笔记(一) 最近因为更换研发教室问题,电脑连不上网,又因老师并没有提供网络的IP地址以及相关的DNS,所以万般无奈之下,利用WireShark找到IP地址及相关DNS使电脑成功连上网,故分享下经验。 WireShark安装: 一、请在百度找到下载地址处并将Wireshark软件包下载至本地,下载后双击解压并运行包内的.EXE格式程序。如下:直接...
学习wireshark笔记
最新发布
04-27
wireshark
超详细的wireshark笔记(1)-一道面试题
weixin_46622350的博客
05-21 1664
文章笔记整理自《wireshark网络分析就是那么简单》 这本书写的很好,大家可以去看一下! 这里是引用
超详细的wireshark笔记(3)-TCP窗口和TCP重传
weixin_46622350的博客
05-29 2360
假如你是一位勤劳的快递员,要送100个包裹到某公司去,怎样送货才科学? 最简单的方式是每次送1个,总共跑100趟。当然这也是最慢的方式,因为往返次数越多,消耗的时间就越长。除了需要减肥的快递员,一般人不会选择这种方式。 最快的方式应该是一口气送100个,这样只要跑一趟就够了。可惜现实没有这么美好,往往存在各种制约因素:公司狭小的前台只容得下20个包裹,要等签收完了才能接着送;更令人郁闷的是,电瓶车只能装10个包裹。综合这两个因素,不难推出电瓶车的运力是效率瓶颈,而前台的空间则不构成影响。 ...
Wireshark应用笔记(一):简介和应用
The Blog of Coder
08-28 852
Wireshark(前称Ethereal)是一个网络封包分析软件,使用WinPCAP作为接口,直接与网卡进行数据报文交换,可以抓取网络封包并显示详细的信息。Wireshark通常可被用来检测网络问题,检查资讯安全,或者为通讯协议排除错误。通过仔细分析Wireshark抓取的封包,能够对网络行为有更清楚的了解。
我的WireShark抓包笔记
yuan_boss的博客
06-09 419
手把手教你学会WireShark抓包
WireShark学习笔记(一)基础知识
Jung_zhang的专栏
07-30 5952
WireShark作为简明的网络嗅探工具一直受到广大程序员的追捧,为了更好学习网络,所以准备学习一下这个神奇的工具,现总结如下。一、网络嗅探器工作原理 收集:从网卡上收集二进制信息(将网卡设置成混杂模式完成抓包) 转换:将捕获的二进制信息转换成可读形式。 分析:对捕获和转换后的数据进行分析。 二、七层OSI模型OSI参考模型是由国际化标准组织ISO提出的,OSI参考模型只是一个行业建议标准,协议开发
流量分析工具wireshark-学习笔记
weixin_49349476的博客
06-26 5051
Wireshark是一种开源网络分析工具,能够捕获不同类型的流量,根据流量追踪数据包,可以帮助分析网络的状态,是否使用什么协议,是否存在攻击
小白的WireShark学习日记
Jair_Bao的博客
04-16 881
短短30多分钟的课,我愣是上了一整天,当然这中间也去做了其他的事儿。总的来说,这课上下来还是有点收获的,特别是对于一个第二天要参加电子取证校赛的小白来说,也算一个比较好的速成课程了吧通过这节课,我了解了WireShark的基础用法,学到了一些基础操作、基础命令,也领教了WireShark在实战中的别样用法。在震惊于WireShark功能之强大的同时,也要提醒大家一定要注意上网安全啊!一定要注意隐私保护啊!还有就是千万不要觉得自己比别人多会了一点技术就去做一些违法的事儿!
学习网络协议最好的工具-wireshark学习笔记
qq_42801460的博客
03-24 312
wireshark的官方下载网站:wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。wireshark是开源软件,可以放心使用。可以运行在Windows和Mac OS上。从上至下依次是WireShark 主要分为这几个界面1. Display Filter(显示过滤器), 用于过滤2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同,代表。
wireshark数据包分析实战 读书笔记
热门推荐
think_ycx的专栏
03-10 1万+
由头之前读了很多书籍,但是现在回顾的时候,很多内容仅仅是熟悉,而不是真正掌握。所以尝试一种新的方式,将读书时觉得比较重要的,或者是自己还不理解的东西记录下来。达到这本书我已经不需要再去翻,只要看笔记即可的效果。
wireshark过滤语法
笔记
04-26 333
原理 网络原理: 在交换机环境中实现抓取网段中所有包的手段: 端口镜像:通过昂贵的路由设备,将其他端口的数据拷贝到目标端口,实现引流 arp欺骗:在主机进行arp广播的时候,对网关进行arp欺骗 泛洪攻击:对网关发出大量的流量包,包含大量的mac地址,将交换机的cam表刷满,当其他主机发出arp请求的时候,会出现凌量泛洪,也就是将其他主机的arp请求直接广播 实现原理: ...
Wireshark基本用法 && 过滤规则 && 协议详解
weixin_30684743的博客
01-19 543
基本使用: https://www.cnblogs.com/dragonir/p/6219541.html 协议解析: https://www.jianshu.com/p/a384b8e32b67 (1)版本 ,占4位,指IP协议的版本,目前广泛使用的IP协议版本号为4(即IPv4)。 2)首部长度 ,占4位,可表示...
wireshark使用笔记
08-31
当然,我可以为您提供关于Wireshark的使用笔记。下面是一些基本的使用说明: 1. 下载和安装:您可以从Wireshark官方网站(https://www.wireshark.org)下载适用于您操作系统的最新版本,并按照安装向导进行安装。 2. 打开Wireshark:安装完成后,打开Wireshark应用程序。在Windows上,您可以在开始菜单中找到它;在Mac上,您可以在启动台中找到它。 3. 选择网络接口:在Wireshark界面的主窗口中,选择要捕获数据包的网络接口。您可以从列表中选择一个接口,并点击“开始”按钮开始捕获数据包。 4. 捕获数据包:Wireshark将开始捕获选定网络接口上的数据包。您将看到一个实时的数据包列表,显示每个数据包的详细信息。 5. 分析数据包:您可以通过单击数据包来查看其详细信息,包括源地址、目标地址、协议等。Wireshark还提供了各种过滤和排序选项,以帮助您更好地分析数据包。 6. 应用过滤器:Wireshark支持使用过滤器来仅显示您感兴趣的数据包。您可以在“过滤器”框中输入过滤条件,并点击“应用”按钮来应用过滤器。 7. 保存和导出数据包:如果您想保存捕获的数据包以供后续分析,可以使用Wireshark的“保存”选项。您还可以导出捕获的数据包为其他格式,如PCAP、CSV等。 这是一些Wireshark的基本使用笔记,希望对您有所帮助。如果您有任何进一步的问题,请随时提问!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值