改内容是个人的学习笔记
Wireshark抓包教程(2024最新版)_哔哩哔哩_bilibili
该课程笔记1-16
wireshark基础
什么是抓包工具:用来抓取数据包的一个软件
wireshark的功能:用来网络故障排查;用来学习网络技术
wireshark下载和安装:
Wireshark · Download
wireshark过滤规则
按IP地址过滤
- 想看源IP为xx的包:ip.src==192.168.0.17
- 想看目标IP为xx的包:ip.dst==223.5.5.5
- 想看源或目标IP为xx的包:ip,addr==192.168.0.17
按MAC地址过滤
- 想看源MAC为xx的包:eth.src==00-E0-70-D0-6A-AE
- 想看目标MAC为xx的包:eth.dst==00-E0-70-D0-6A-AE
- 想看源或目标MAC为xx的包:eth.addr==00-E0-70-D0-6A-AE
按端口号过滤
- 过滤TCP端口为4694的包:tcp.port==4694
- 过滤TCP源端口为4694的包:tc[.srcport==4694
- 过滤TCP目标端口为4694的包:tcp.dstport==4694
按协议类型过滤
- arp
- dhcp
- http
- https
规则组合
- and:想看dhcp的包,并且只想看某台电脑的dhcp包(dhcp and eth.addr==00-E0-70-D0-6A-AE)
- or:想看dhcp或者arp(dhcp or arp)
- !:我想看除了arp以外的包(!arp)
通过icmp保温判断网络故障
1.重难点理论梳理
2.现网案例
提前概要
ICMP,测试网络连通性
通,告诉延迟
不通,告诉原因,用ICMP包里的type+code,两个数字的组合,代表故障原因
1.没配网关。 传输失败,常见故障
2.配了网关,但是找不到网关。 来自本机的回复,无法访问目标主机(自己发ARP寻找网关MAC,失败)
3.配了网关,并且能找到网关。 来自网关的回复,无法访问目标网络(网关设备缺少路由)
4.1 后面的设备, 有回包的路由,没有目的地的路由。 报错:来自缺路由的设备,无法访问目标网络。
4.2 后面的设备,没有回包的路由,没有目的地的路由。 超时。
b ping a
a ping b
数据包都是有去有回
防火墙,不通的那个设备,禁ping
Windows防火墙,出站连接,默认禁止。需要什么允许通,防火墙设置,放行。
ICMP,type+code含义
8+0 代表是一个ping请求
0+0 代表是一个ping回应
3+0 缺路由,所以不通
3+1 不缺路由,缺arp
11+0 因为TTL值没了,所以丢包了
3+3 端口不可达
3+2 协议不可达
3+1
ping 100.100.100.101
右边的路由器172.16.2.2
查路由表,有路由表,对应g0/1直连路由
查arp,100.100.100.101对应的mac,没查到
发arp请求,从g0/1发,没得到回应
11+0
linux服务器,网络设备,发trace route
win10
tracert -d www.baidu.com
测试,我这台电脑,达到百度服务器
中间经过了哪些设备
路由跟踪
Windows,发出的是个icmp探测包,ttl=1,探测出都一跳
发出的是个icmp探测包,ttl=2,探测出都二跳
发出的是个icmp探测包,ttl=3,探测出都二跳
因为ttl=1的包,数据包没到达一个三层设备,ttl减去1,在第一跳减到0,如果ttl=0,丢弃
谁把我的包,丢了,谁给我一个报错消息,报错消息的内容,ttl没了所以丢包了
ttl=2,第二跳设备,丢我包。他给我发报错。他就是第二跳。
BOSS直聘面试问题
协议号和端口号,啥区别?
协议号:IP头部里的字段,标识这个数据包是tcp(6),还是udp(17),还是icmp(1),还是gre(47),还是ospf(80),还是vrrp
端口号:TCP,UDP头部里的字段,标识这个数据包是http(80),还是dns(53),还是ftp(21),还是tftp(69),还是smtp
DNS包
他的协议号是多少:17
他的端口号是多少:53
HTTP包
他的协议号是多少:6
他的端口号是多少:80
gre
两台路由器,想建立 gre的联系
路由器A配好了, 路由器B没配
A找B,建立gre连接 B回一个消息,协议不可达
gre---ospf---ipsec
OSI各层常见协议
- 应用层
- DNS
- DNS系统的作用
- 提供了主机名字和IP地址间的相互转换
- DNS系统的模式
- 采用客户端/服务器模式
- FTP
- FTP协议是互联网上广泛使用的文件传输协议
- 客户端/服务器模式,基于TCP
- FTP采用双TCP连接方式
- TFTP
- TFTP(简单文件传输协议)也是采用客户机/服务器模式的文件传输协议
- TFTP适用于客户端和服务器之间不需要复杂交互的环境
- TFTP承载再UDP之上,端口号69
- TFTP仅提供简单的文件传输功能(上传、下载)
- TFTP没有存取授权与认证机制,不提供目录列表功能
- TFTP协议传输是由客户端发起的
- HTTP
- DHCP
- TELNET
- 远程管理网络设备
- 测试端口可达性
- SMTP
- POP3
- SNMP
- DNS
