抓包原理：

一、哪种网络可以抓到包：

1、主机环境：wireshark绑定本机网卡，直接抓本地网卡进出的流量

2、集线器环境：抓整个集线器连接的局域网里的包(现在很少)

3、交换机环境：

端口镜像：本机网卡调为混杂模式，抓连接交换机的包(正经抓包)？

arp欺骗：  cain&abel 是arp攻击软件    ?

mac泛洪：  ?       

二、底层原理 

---

基本操作

一、基本

captrue下interface list选择需要抓包的网卡

标记数据包：在Packet List中选中一个数据包，右键选择Mark Packet就可以将该数据包高亮标记，快捷键按ctrl+M，取消标记也是ctrl+M

主窗口：wireshark的主窗口分三大主块：Packlist List（数据包列表）、Packet Details（数据包细节）、Packet Bytes（数据包字节）

首选项设置：菜单栏的Edit里的Preferences里设置，包括这几个部分：User Intereface（用户接口）、Capture（捕获）、Name Resolutions（名字解析）、Statistics（统计）、Protocols（协议）

二、捕获

捕获设置：Capture 下的Optiion可以用来设置各种数据包抓取规则

捕获设置

在‘1’处设置网卡，可以选择一个双击，弹出该接口的具体设置信息设置是否开启混杂模式，是否以pcap-ng格式捕获数据包，以及按字节数限制每个捕获数据包的大小。

在‘3’捕获文件过滤器：可以用各种触发器（基于文件大小或时间）

在‘4’停止捕获：可以以文件大小、时间或者数据包数目为触发条件，停止数据包捕获。

在‘5’显示设置的相关设置：注意实时显示会增加CPU负荷，可以取消该项。

在‘6’名字解析：MAC地址解析，将数据链路层的MAC地址解析成网络层的IP，如果解析失败，则会按MAC地址前三个字节转换成设定制造商的名称，如Netgear_01:02:03;网络名字解析：尝试使用DNS协议，将IP地址解析成主机名，注意这会产生格外的DNS流量;传输名字解析：尝试将端口号解析成与其相关的名字，如80端口转换成http显示。

三、分析

跟踪TCP数据流：右键单击一个数据包选择Follw TCP/UDP Stream即可重组出数据流交互过程。其中红色表示从源地址发往目标地址，蓝色反之。

跟踪TCP数据流

四、统计

查看端点：Statistics->Endpoints，其中有各层每一个端点的地址、传输发送数据包的数量以及字节数。

查看端点

查看会话：Statistics -> Conversations，网络会话是指地址A与地址B之间的会话。

协议数据的分层统计：Statistics->Protocol Hierarchy。有时需要分析捕获数据包中各协议所占的比例，以分析网络流量是否正常。

协议数据的分层统计

---

filter书写：

协议

http,

过滤ip

                 ip.src==?            ip.dst==?

 过滤mac

eth.addr==?      eth.src==?          eth.dst==?

过滤端口

协议.port==?     协议.srcport==?      协议.dstport==?

http过滤

http.request.method=="GET"

条件组合

and  or