捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸

捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸

Wireshark网络分析实例集锦大学霸

Wireshark网络分析实例集锦大学霸

3.8.3  捕获广播或多播地址数据广播地址就是当IP地址的网络和主机位全为1时,就是广播地址255.255.255.255。该地址应用于网络内的所有主机。该地址通常用在向局域网内所有主机发送广播包时,其目的地址就是广播地址捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。

多播地址即组播地址,是一组主机的表示符。在以太网中,多播地址是一个48位的标示符。在IPv4中,它历史上被叫做D类地址,它的范围是224.0.0.0到239.255.255.255。广播地址全1的48位地址,也属于多播地址捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。

通过监听广播和多播,可以在Wireshark中了解到关于网络上主机的数据。下面列出几个常用的例子,如下所示:

q  ip broadcast:捕获到255.255.255.255的数据。

q  ip multicast:捕获通过239.255.255.255到224.0.0.0的数据。

q  dst host ff02::1:捕获所有主机到IPv6多播地址的数据。

q  dst host ff02::2:捕获所有路由到IPv6多播地址的数据。

如果只想捕获所有IP或IPv6的数据,使用ip或ipv6捕获过滤器。

【实例3-6】捕获广播地址数据。具体操作步骤如下所示:

(1)启动Wireshark捕获工具。

(2)在捕获窗口中设置捕获过滤器为ip 255.255.255.255,如图3.31所示。 图3.31  设置广播地址过滤器

(3)从该界面可以看到指定的过滤器和捕获文件的位置。此时单击Start按钮,将开始捕获数据,如图3.32所示。图3.32  捕获的广播地址数据

(4)从该界面可以看到所有数据包,都是发送给255.255.255.255主机的。

3.8.4  捕获MAC地址数据

当想要捕获到/来自一个主机IPv4或IPv6的数据时,可以创建一个基于主机的MAC地址捕获过滤器。自从MAC头部被剥去,并且通过沿着路由器的路径应用。这样确保了,网络片段和目标主机片段一样捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。

q  ether host 00:08:15:00:08:15:捕获到/来自00:08:15:00:08:15主机的数据。

q  ether src 02:0A:42:23:41:AC:捕获来自02:0A:42:23:41:AC主机的数据。

q  ether dst 02:0A:42:23:41:AC:捕获到达02:0A:42:23:41:AC主机的数据。

q  not ether host 00:08:15:00:08:15:捕获到/来自除了00:08:15:00:08:15的任何MAC地址的流量。

【实例3-7】仅捕获到/来自其它MAC地址的数据。具体操作步骤如下所示:

(1)使用ipconfig或ifconfig命令,查看活跃接口的MAC地址捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。

(2)在工具栏中单击 按钮,打开捕获选项界面,如图3.33所示。图3.33  捕获选项

(2)在该界面的捕获区域,选择捕获数据的接口(本地连接)的复选框。在这个捕获区域双击选择接口行的任何一处,启动编辑接口设置窗口,如图3.34所示。图3.34  编辑接口设置

(3)在该界面输入not ether host xx.xx.xx.xx.xx.xx(以太网地址),如图3.34所示。

(4)为了方便以后使用该过滤器,这里将保留此过滤器。单击Capture Filter按钮,将显示如图3.35所示的界面。图3.35  保存捕获过滤器

(5)在该界面修改过滤器名字,设置为NotMyMAC。然后单击New按钮,该过滤器创建成功,如图3.36所示。图3.36  创建捕获过滤器

(6)从该界面可以看到NotMyMAC捕获过滤器被成功的创建。此时单击OK按钮,将看到如图3.37所示的界面。图3.37  创建的捕获过滤器

(7)从该界面可以看到新创建的捕获过滤器。现在单击Start按钮,将开始捕获捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。

(8)此时,用户可以在非MAC地址为00-0C-29-56-8D-21的所有主机上进行操作。通过访问各种网站、登录服务器或发生邮件,产生主机间的数据流量。

(9)返回到Wireshark主界面,单击 (停止捕获)按钮。捕获到的数据,如图3.38所示。图3.38  捕获的数据

(10)在该界面通过滚动鼠标,查看捕获的所有数据。在该捕获文件中,将不会出现MAC地址为00-0C-29-56-BD-21主机的数据。

3.9  捕获端口应用程序数据

在Wireshark中想要使用捕获过滤器捕获应用程序的数据时,需要使用端口过滤器。本节将介绍捕获端口应用程序数据捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。

3.9.1  捕获所有端口号的数据

在网络中,大部分的应用程序都有相应的端口号,如DNS、HTTP、FTP。下面列出了一个最常用应用程序捕获过滤器的列表捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。如下所示:

q  port 53:捕获到/来自端口号为53的UDP/TCP数据(典型的DNS数据)。

q  not port 53:捕获除到/来自端口号为53的所有UDP/TCP数据。

q  port 80:捕获到/来自端口号为80的UDP/TCP数据(典型的HTTP数据)。

q  udp port 67:捕获到/来自端口号为67的UDP数据(典型的DHCP数据)。

q  tcp port 21:捕获到/来自端口号为21的TCP数据(典型的FTP命令行)。

q  portrange 1-80:捕获到/来自1-80端口号的UDP/TCP数据。

q  tcp portrange 1-80:捕获到/来自1-80端口号的TCP数据。

【实例3-8】捕获端口为80的所有数据包。具体操作步骤如下所示捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸:

(1)启动Wireshark工具。

(2)在捕获选项窗口中设置捕获80端口数据的过滤器,并保存该文件,如图3.39所示。图3.39  设置端口过滤器

(3)从该界面可以看到设置的捕获过滤器和文件保存位置。设置完后单击Start按钮,将显示如图3.40所示的界面。图3.40  捕获80端口的数据

(4)从该捕获文件的Protocol列可以看到所有的协议都为TCP和HTTP。这两种协议的数据包,都是来自80端口的。

3.9.2  结合基于端口的捕获过滤器

当用户想要捕获到/来自各种非连续端口号的数据,可以通过组合各种逻辑运算符来实现捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。如下所示:

q  port 20 or port 21:捕获到/来自20或21端口号的所有UDP/TCP数据。

q  host 10.3.1.1 and port 80:捕获到/来自端口号为80,并且是到达/来自10.3.1.1主机的UDP/TCP数据。

q  host 10.3.1.1 and not port 80:捕获到/来自10.3.1.1主机,并且是非80端口的UDP/TCP数据。

q  udp src port 68 and udp dst port 67:捕获来自端口为68,目标端口号为67的所有UDP数据(典型的DHCP客户端到DHCP服务的数据)。

q  udp src port 67 and udp dst port 68:捕获来自端口号为67,目标端口号为68的所有UDP数据(典型的DHCP服务器到DHCP客户端的数据)。

提示:尽可能不要使用捕捉过滤器。当捕获大量的数据时,可以通过使用显示过滤器过滤特定的数据。

【实例3-9】捕获192.168.0.110主机上非80端口的数据捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。具体操作步骤如下所示:

(1)启动Wireshark工具。

(2)在捕获选项窗口中设置捕获主机192.168.0.110上非80端口数据的过滤器,并保存该文件,如图3.41所示。图3.41  设置的过滤器

(3)在捕获过滤器区域设置捕获过滤器后,单击Start按钮,将显示如图3.42所示的界面。图3.42  捕获的数据

(4)此时,在该捕获文件中的Protocol列,将不会看到有TCP和HTTP的数据。因为TCP和HTTP协议的数据包,端口号是80捕获广播或多播地址数据MAC地址数据端口应用程序数据Wireshark网络分析实例集锦大学霸。

Comments are closed.