Wireshark数据流追踪和信息说明

数据流追踪

我们的一个完整的数据流一般都是由很多个包组成的，

查看某条数据包对于的数据流的方法：
   右键——>追踪流
   然后就会有TCP流、UDP流、SSL流、HTTP流
   当你这个数据包是属于哪种流，就可以选择对应的流

当我们选择了追踪流时，会弹出该流的完整数据流。还有这个数据流中包含的数据包。

顶部的过滤器就是该流的过滤规则

专家信息说明

功能：可以对数据包中特定的状态进行警告说明。
   错误(errors)
   警告(Warnings)
   标记(notes)
   对话(chats)

菜单栏：分析——>专家信息

数据包的统计分析

菜单栏：统计一栏中，可以对抓取的数据包进行进一步的分析，

比如抓取的数据包的属性、已解析的地址、协议分级等等

已解析的地址
   功能：统计通信流量中已经解析了的地址
   菜单栏：统计——>已解析的地址

协议分级
   功能：功能：统计通信流量中不同协议占用的百分比
   菜单栏：统计->协议分级

统计摘要说明
   功能：功能：可以对抓取的数据包进行全局统计，统计出包的一些信息
   菜单栏：统计->捕获文件属性

数据包分析过程中的一些小技巧

大量404请求——>目录扫描

大量 select....from 关键字请求——>SQL注入

连续一个ip的多端口请求或多个ip的几个相同端口请求——>端口扫描

黑客通过爆破账户和密码，则是post请求 http.request.method==POST

黑客修改文件， ip.addr==219.239.105.18 and http.request.uri matches "edit|upload|modify"

如果是用菜刀连接的包，则是post请求 ip.addr==219.239.105.18 and http.request.method==POST

点击下面获取学习链接

---

wireshark安装及网卡配置
wireshark数据包过滤
Wireshark 窗口介绍
Wireshark抓包TCP包头分析
Wireshark数据流追踪和信息说明
Wireshark抓包页面的登录信息