突然发现为什么我写的都是初探初窥初心者向之类的东西
当然是因为我菜啊QAQ
工具
- Wireshark
基本上这篇文章都是用的wireshark,所以也可以看作一个wireshark使用指南(雾
虽然wireshark在渗透的时候不如burpsuite功能丰富,但是在流量数据分析方面十分好用,可谓网络工程师手里的万用表。
wireshark界面&基本用法
参照我之前写的CTF工具篇
统计工具的功能
菜单栏里有个统计按钮,利用下面的子菜单可以呼出不少有用的功能
- 捕获文件属性:可以查看当前捕获数据包的时间、接口、分组大小等
- 协议分级:可以显示各级协议所占比重
- 对话
- 请求
- 等等......
筛选HTTP流量
- 基于名称的HTTP显示过滤器
- 过滤指定域名:只显示选定域名的过滤器写法
http.host==www.xx.com - 过滤包含的指定域名:以百度为例
http.host contains baidu - 过滤Referer头部内容:
http.referer=="http://www.baidu.com/"
- 过滤指定域名:只显示选定域名的过滤器写法
- 基于HTTP请求方法的显示过滤器
- 只显示GET请求的数据包:
http.request.method==GET,post同理 - 显示所有请求数据包:
http.request,同理所有响应包http.response - GET除外的数据包:
http.request and not http.request.method==GET
- 只显示GET请求的数据包:
- 基于HTTP状态码的显示过滤器
- 显示包含HTTP错误状态码:
http.response.code>=400 - 显示包含HTTP客户端错误状态码:
http.response.code>=400 and http.response.code<=499,同理服务器端的就在500到599之间 - 只显示状态码为400的:
http.response.code==404
- 显示包含HTTP错误状态码:
导出HTTP对象
单击“文件”->“导出对象”->“HTTP”,即可弹出HTTP对象列表窗口,会列出被访问的web站点名称,以及各web站点上被访问过的文件信息
利用Follow TCP Stream窗口分析Http数据流
如图在待分析HTTP流中右键点击追踪流->tcp流
ws1.PNG
之后就会弹出如下窗口,在里面可以看到该HTTP流中的详细包信息
ws2.PNG
利用IP流量分析工具
- 进入统计-->端点
-
勾选解析名称。通过这个工具,可以了解到探测到的所有与第二、三、四层端点有关的统计信息,通过这些信息可以很好地解释一些现象
捕获.PNG
