抓包需要設定網絡卡和過濾表示式,如果過濾表示式不設定,將會抓經過設定網絡卡的所有網路包。
捕獲過濾器表示式
說明:protocol(協議):tcp,udp等,如果沒指明協議型別,則預設為捕捉所有支援的協議。
direction(方向):src,dst等,如果沒指明方向,則預設使用src or dst作為關鍵字。
host(s):net, port, host, portrange等,預設使用host關鍵字,src 10.1.1.1與src host 10.1.1.1等價。
logical operations(邏輯運算):not,and,or等,否(not)具有最高的優先順序。或(or)和與(and)具有相同的優先順序,運算時從左至右進行。
常見使用的捕獲過濾器表示式
1)只捕獲某主機的http流量
host 192.168.23.100 and port 80 and http #只捕獲主機192.168.23.100的http流量
port 80 and http #捕獲所有經過該介面的http流量
host 192.168.23.100 and not port 80 #捕獲主機192.168.23.100除80埠之外的其他所有流量
not port 80 #捕獲除80埠之外的其他所有流量
2)只捕獲某主機的所有流量
host 192.168.23.100 #捕獲源目主機均為192.168.23.100
dst 192.168.23.100 #捕獲目的主機均為192.168.23.100
src 192.168.23.100 #捕獲**主機均為192.168.23.100
net 192.168.5.0/24 #捕獲網段為d192.168.5的所有主機的所有流量
3)只捕獲特定埠的流量
tcp portrange 8000-9000 an port 80 #捕獲埠8000-9000之間和80埠的流量
port 5060 #捕獲sip流量,因為sip的預設埠是5060。舉一反三:port 22 #捕獲ssh流量
wireshark主視窗主要有顯示過濾器、封包列表、封包詳細資訊、16進製制資料、位址列。
常見用顯示過濾表示式
1)根據埠篩選
tcp.port == 9999 #篩選tcp協議中9999埠的流量
(tcp.srcport == 53084) && (tcp.dstport == 9999) #篩選tcp協議中目的埠9999並且源埠是53084的流量
2)根據ip篩選
ip.src == 192.168.23.1 #源ip是192.168.23.1的流量
ip.dst == 192.168.23.142 #目的ip是192.168.23.142的流量
3)根據內容篩選
tcp contains "11111111111111" #tcp資料報內容包含11111111111111
http contains "1111111" #http資料報內容包含11111111111111
傳輸層與tcp報文格式的區分比對:
標誌位對應的功能:
urg: 緊急指標( urgent pointer)有效。
ack: 確認序號有效。
psh: 接收方應該盡快將這個報文段交給應用層。
rst: 重建連線。
syn: 同步序號用來發起乙個連線。
fin: 發端完成傳送任務。
視窗大小:用於流量控制。
檢驗和:檢驗和覆蓋了整個的 tcp報文段: tcp首部和tcp資料,與udp相似需要計算偽首部。
主視窗型別
主視窗型別 有三種視窗 qmainwindow qwidget qdialog qmainwindow 可以包含選單欄 工具欄 狀態列和標題欄,是最常見的視窗形式。qdialog 是對話視窗的基類。沒有選單欄 工具欄 狀態列。qwidget 不確定視窗的用途就使用qwidget。import sys...
C 登入視窗與主視窗
程式入口 using system using system.collections.generic using system.windows.forms namespace huiyi 主視窗的 using system using system.collections.generic using...
修改主視窗風格
cwnd precreatewindow 函式先於視窗建立函式執行。如果該函式被過載,則視窗建立函式將使用cwnd precreatewindow 函式返回的createstruct cs引數所定義的視窗風格來建立視窗 否則使用預定義的視窗風格。createstruct結構定義了建立函式建立視窗所用...