wireshark如何解析pcap数据包

肖老师，使用 what 抓取的数据包看起来很复杂呀，那我捕获了很多的豹纹，对吧？啊？嗯，你看我们刚才上网的过程中呢，抓取了很多的豹纹 啊，那有人说你这个豹纹怎么看呢？我们重要的是分析这个豹纹里面的结构，比如说我们看这个豹纹，那这个豹纹的话呢，它是分成了二层 mark 地址，三层的 rp 地址啊，四层的一个端口号啊，包括我们的应用层的协议，当然你去双击它也可以 啊，那么这个地方呢，能看得更清楚一些，这个编译过程就不用管 啊，编译过程就是这个豹纹里面携带的东西嘛，啊，携带的东西，因为有的时候他携带的如果是图片呀，或者音频呀这个软件啊，这个抓包软件他也解析不出来啊，所以这个呢， 呃，携带的如果是铭文的文字的话呢，都能看出来，对吧？但是其他东西呢，这边就显不显示了啊， 那我们重要的是分分分析出来啊，这个豹纹它的一个结构啊， 那比如说这是一个 http 的豹纹，对吧？啊，那这一块呢啊，就是我们要宰的这个货物嘛，啊，我们要宰的货物啊，那么它呢，就是我们的应用层啊，应用层的一个数据啊， 然后再往上一个层次呢，就是我们的啊，传输层了啊，这一块是传输层啊，那么传输层的端口号呢？他用的是一个 t c p 的端口啊，它是一个八零号端口，对吧？目的端口呢是八零语言端口号呢是五八六七七啊，那么至于里面的东西呢，可以暂时不用 管他啊，其实你展开之后，里面有好多东西，对吧？啊？有窗口大小呀，有 flag 位呀，这个不管他啊，你就按照我说的啊，你刚入行的时候对吧，刚入门的时候呢，你就记住端口就是了，那这些东西不重要， 一般情况下我们的网工呢，不需要去关心他，他是由程序自动完成的啊，一般情况下哈，一般情况下我们的网工呢，不用管他，等到你学到后期啊，你到这个中级或者高级的这工程师的时候呢，你再再去研究底下这一部分 啊，就是一般我们不用去操心底下这一块，他是由程序自动完成啊。那么关于这个端口我们为什么要关心呢？因为我们在呃对数据报文传输过程中，有的时候呢要进行控制吗？对吧？那么控制的 时候呢，很多就是拿这个端口来进行控制的啊，底下这些东西你网供你想改对吧？你也改不了啊，你说我们能不能网络公司啊，那么通过配置路由器的某一个命令对吧？啊，让他去基于底下这个字段啊，做什么什么样什么样的处理，对吧，这个也很难做嘛， 这时候程序自动完成了，不用管它啊，好，呃，这一块是我们的 r p 层哈，那么 r p 层呢，就是我们的这个网络层了啊，网络层啊，网络层最重要的是什么呢？是这个 r p 地址吗？对吧？原地址，目的地址 啊，这就是我们最重要的啊，我们的路由器就是看这个目的地址来转发报文的。当然这个网络层呢，其实除了 r p 地址之外还有很多其他的东西，比如说啊，版本号呀 啊，头部长度呀啊，用于 q o s 的这个，呃呃，各种字段呀，对吧？这是 d， s， c， p， v 啊，用于分片和重组的这个这些位，这些位你也不用管他啊，就是他也是程序自动完成啊。你就是你初级阶段哈，入入门阶段，不用去记这么多，你也记不住啊。 这里面其实如果跟你详细讲的话，估计可以讲上个一周哈。啊，比如这个是什么意思？这个什么意思？这个 flag 位里面三个位又是什么意思啊？这个估计可以给你讲一周啊， 初学者不用管 eta 网二层了，对吧？二层了啊， eta 网就比较简单了啊，就有这三个字段 啊，原地址啊，原 mark， 目的 mark， 然后是类型啊，好了，就是这一块哈。

y 二十二是一款抓包分析工具，可以捕获网络连接中的数据包，是世界上最常用的包。秀叹气这款软件是开源免费的， 五种常见系统都可以用。底层接口是 wincap， 大家安装接 nsp 的时候应该见过。软件可以实时捕获网络流量，并且对数据包进行过滤、排序和搜索，方便用户找到兴趣流量数据包捕获到之后会进行解码， 根据协议层次区分每个字段的含义。除了解读，还能还原重组出完整的应用层数据，比如 h t t p 请求 f t p 的文件等等。除此之外，还可以生成图表，帮助用户掌握流量趋势。总体来说，这款软件是网 供学习、研究网络结构、排除网络故障都会用到的一款必备软件，而且可以抓取通信流量的密码，比如 talent s n m p v 一这类名文，发送用户名密码的协议都可以通过 y r 十二个进行抓取。

好下面呢我们来讲一下 vrsak 的过滤器的使用。好吧，那么过滤器啊他分两个 啊，捕获过滤器和什么显示过滤器。对，那么首先呢我们来这里的我们开启一下混杂模式吧。好吧对，这样我能捕获更多的数据包，否则的话你用普通模式那么开的，如果没有 发给凯迪斯一包我们就抓不到了对不对？哎，那么我们再次开启一下混搭模式啊。现在是不是混搭模式啊？已经试了是吧。对 这里怎么设置啊，把它停了啊。补货选项这样打上最勾啊就是混搭模式了，然后这个接口千万别选错了，如果选错了你可能抓不到数据包对吧，你到开里打 打开终端 fcon 这个查看一下的好吗？在哪里呢？在这里头啊，就是他这个名称，如果一般来讲咱们开立的都一样啊，你和我的应该是都是一样的啊，不可能不一样。好吧。 然后呢我们直接开始抓取啊，抓取然后在抓取之前啊大家看啊对我来再来补货啊，这里这里有一个这叫补货过滤器，什么概念呢？对，如果你不设置的话他会捕获各种类型的数据包， 各种类型说都会捕获到啊，那比如我这里呢我只想捕获某台主机的 pose 的对空格后面可以跟什么 ip 地址啊。 ip 比如呢我只想补货我物理机的幺点幺四。 好吧，那么也就什么概念呢，所有和这个 ip 地址有关的数据包他都会补货到，没有关系的一律不补货 ok 吗？额文点击开始继续部分中。那么大家看所有的数据包里面是不是和大哈哈大优都有关呢？这个 cose 是原 ip， 这是目标 ip 是吧？要么原 ip 是幺零幺四，要么目标 ip 是幺零幺四的，没有关系的一律丢弃， ok 吗？对，这是补货过滤器啊，然后呢？除了这个 ip 地址以外，那么当然还有其他的使用方法啊，比如说，那我自己呢？我想补货啊，原 ip 啊，原 ip 就是谁啊？幺点幺四发出去的数据包 s 二 c 空格啊， hose 的 s 二 c 圆的意思对不对？那你再看三后有什么不一样吗？再看所有都是补货圆臊子都是幺零幺四的 对吧？和刚刚是不一样，完全不一样对吧？那当然了，我们也停止，那我可以来捕获所有发给。 对，所有啊，这里有我们 dst 就目标主机所有发给幺点幺四的数据包。对， dsc 是目标目标主机啊，哎，开始你看有啥不一样， 这全是幺九幺四，可以吗？对，这是方法啊，那么当然了，那你说，那我只想捕获这是跟八零端口有关的，好吧，八零端口有关的怎么办？对， 那么这可以使用炮他端口，意思我后面跟端口号可以吗？对，开始继续，你看他补货的，对吧？八零，那么就是 it 端口呗，你看是不是都是八零端口啊？ 都是八零档口啊，对吧？是不是？哎，有人说，哎，我不，这不是啊，看这 pot pot 咱们点 pote 都八零，看这都八零，看到吗？你点都是八零吧，对吧？是不都是八零啊，是不都是八零？对，然后这个是我看啊 啊，哎，圆灯口是八零是吧？对，圆灯口，圆灯口，要么圆灯口是八零，要么目标灯口是八零，对吧是吧？ ok， 好的，那么还有其他的方式吗？啊，当然，那太多了啊，这里还可以，咱们筛选的是 ipv 四啊， ipv 六可以不？ a b b 六也可以啊，也可以啊，马克地址呢？也可以，就是你可以去筛选指定的马克地址，比如 et h 一二，然后呢，你看当你打的时候他下面有提示， 看到吗？对，不是 eth 一二， pose 的后面跟 max 地址也可以去塞。 对，因为你看，嗯，一台电脑他的 ip 地址可能会变，但是那个地址会变吗？一般情谊不会变， 对吧？然后呢，你可以通过麦克地址去抓取他的一个数据包啊，都可以，这都没问题好吧，然后，当然，那么这里呢，还可以去塞行指定协议的数据包，比如说我只想筛选啊，邮递批，邮递批，邮递批， 是吧？协议的可以吗？没问题啊，对，然后直接写邮递批就可以了，然后全是邮递批的。对，那有人话不邮递批呢？为啥？还有 oscq 啊这些啊，为啥啊？一会给大家讲啊，为啥 啊？这是捕获过滤器啊，好，那么下面呢，我们把这个捕获过滤删掉，对吧？如果我不设定捕获过滤器，直接点击开始， 那么所有相关的，对吧？他没有条件，所有的书包都会补货，对，没有限制 啊，这个是补货过滤器啊的使用方式啊，当然他有很多其他的一些用法了啊， 你也可以组合的去用啊，组合用，下面呢，比如说我们抓取了很多数据包，那么我们在如分析数据包的时候如何去塞， 筛选出我们想要的，对吧？比如说现在呢，我把这个停一下啊，或者不停，现在我想筛选 tcp 协议的数据包， tcb 直接回车，好吧，大家注意啊，这个显示过滤器啊，我们设置的筛选条件是 tcb， 他不是只捕获 tcp， 而是把捕获到的 tcp 数据包显示出来，其他的数据包全部隐藏掉，那其实还在不在？还在， 还在。好吧，那么我当我把这个条件取消之后，对吧？他又恢复以前的状态了，好吧，这是捕获 tcb 数据包啊，那么还可以，比如说我捕获 arb 数据包啊， arp 对吧？回车，你看，只显示 arp 类型的数据包， arb 协议的对吧？其他呢？都过滤掉了，那其实来讲，那么大家想，那么其他的抓包还在进行吗？我没有停止抓包对吧？那抓包还在进行，那只是抓到其他类型的数据包呢？他没有显示而已 啊，那么还可以去三眼边 udp 呢，什么协议？自己写协议名称就可以了。 udp， 好吧，对，这样可以吗？没有问题，好吧，这个大家学会了吗？ ok 啊，然后呢？这个是 udp 的啊，那么还有什么？还有什么协议？还有其他小 htv 协议啊，低音 s 协议是不都可以啊？ http， 对，你想晒啊几啊？还有 dns， dns， 对，这都是 dns。 dns 是啥呀？咱们节目讲过是吧？ 解析是吧？ carry 查询吗？对，域名解析啊，就相当于通过域名去查询他的 ip 地址啊。啊，那么这是筛选过滤器啊，那么就显示过滤器，我呢把笔记呢给大家整理一下子啊。好，刚刚是讲到了 说啊， dns 是吧？对， dns， 呃，那么这里呢，我们比如说啊，筛选条件，除了这种简单的筛选方式外 啊，那么还可以有其他的筛选方式啊，当然很多种了，语法很多，比如说在这里头显示过滤器里面。对，那么我只想啊，补货对吧？筛选原地址是幺点五三，目标地 地址是幺点幺的啊，这种数据包我们如何去做？那首先大家注意啊，那你先有这个数据包对吧？原地址，目标地址，注意中间是货， 对吧？大家能理解这概念吗？什么是货？只要原地址是幺点五三的。对，然后呢？或者啊，目标地址是幺网吧幺点幺的是吧，都可以啊。 对，然后呢我们来看啊，这个如何去呢？我们先来产生一个数据包啊，产生个数据包怎么产生呢？ 嗯，我先拼一下子，好吧，我用幺点五三开里，我去拼一下网关， 采用一些数据包 啊，停有 哈。哎，然后瞬间就有了啊，然后呢，我们把它最小化回到这里啊。嗯，这个钻包呢，我没停啊，一直在抓呢。嗯，多的话多抓点。好吧，一会呢好给大家去分析啊分析啊， 这里呢，我们来看啊， ip 啊， ip 地址对吧？点 sr c 圆的圆主机，这题出来了是吧？ hols 的等于什么？ 空格？两个等号空格幺九二点幺六八点幺点五三啊，如果我这么去塞， 你看啊，这三都是原 ip， 是幺点五三的是吧？对，然后呢？或者目标 ip ip 点 dsds st 是目标 ip， 下回先后闪他有提示啊，等于多少？幺九二点幺六八点幺点幺， 你看这里呢？我看啊，筛选出的好像是和他一样啊，这样，我呢在物理机呢。对，我也来拼一下网关，这样的话我们能看的更明显一点是不是？对，我也拼一下网关啊，拼 幺九二点幺六八点幺点幺。 看，这出来了吧？这不出来了，有了哈，有了。对，你看啊，这出来，嗯，这是货啊，原 ip 幺点五三的，但这原 ip 不是幺点五， 但是目标 ip 一定是幺点幺的，对吧？这个货呀，就是这个概念好吧。对，这是奥啊，奥，货啊，我们会经常用它或者是呢按的 是吗？并且这块就不一样了。对啊，是这样的，就说原 ip 必须是幺点五三，并且满足目标 ip 是幺点幺的， 好吧。对，那么这个奥啊，或和暗的是或或者是对语的意思啊，那么当然这里头我用两个他可以不？ 效果是一样的，对不对？或者是我用两个竖线可以不 来看见我等价的？对，按的和两个和号是等价的 好吧？对，然后呢？奥和两个竖线是等价的啊，然后呢？这里呢，我给大家再讲一个，就是说 ip 啊，比如还有 a、 d、 d、 r， 比如 a、 d、 d、 r 等于幺九二点幺六，八点幺点五三，这是什么意思呢？ app 地址就是所有和幺点五三有关的，无论是原 ip 或目标 ip 是幺点五三的，都都筛选出来，能理解吧？ 好吧，是不是这个都出来了吧，和幺五三有关的。对，他没有产生什么数据包啊？对啊，那主要还是我物理机产生数据包比较多，对吧？然后这里还可以加上个 ip 点 a、 d、 d、 r， 等于不是幺九二点幺六，八点幺点幺。那么这么写会实现一个什么效果呢？ 对啊，他能塞到吗？能塞到吗？对啊， ok 吗？是吧？对， ip 点 a、 d、 d、 r 或者吗？是不是啊？对，和网关，那和其他一关有关，也没关，我幺点幺四呢， 你看他得到一个什么结果有吗？对啊，因为幺点五三和幺二幺四之间有产生数据包吗？没有，对，再拼一下子就有了产生，有数据包就产生了啊， ok， 然后呢还当然还有其他很多的一些搜索啊，一会呢再讲了，下面啊，协议分析的时候啊，然后再给大家慢慢去啊，讲一下其他的，好吧，然后这里呢我要注意点啊，就这个 ip 啊，点 ss， 这个奥和按的概念，他是什么意思啊？ 那么按按的相当于电路的啊，串联，对，串联澳呢，相当于电路的并联，那么我们学过物理的是不都知道这个具体的我就不给大家画图了， 好吧，对，那么奥是什么意思？或者对只要满足一方左边有一个条件满足他呢，就有结果，是不是对奥进行拼接呢？表示， 嗯，货啊，那我们也可以使用按的，对吧？奥表示满足左右其中一个条件呢，就会显示符合条件的数据包，按的呢是左右两个条件都满足才会啊，显示啊才会显示。 ok， 这里的就不给大家啊过多去说了啊， ok， 然后呢这是关于安的和奥啊，那么当然还有很多其他的使用方式了啊。

本节我们介绍使用 vrsak 工具来分析网络数据包。好，我们来介绍一下本节的内容，本节内容主要包括三部分，一个是 vrsak 的基本操作就是抓包操作， 抓包是一个比较专业的术语了，也就是可以可以理解为从从网卡上补货数据包。还有一个就是使用过滤器，这是一个 vr 晒卡的基本技术， 使用过滤器可以非常方便的过滤出来我们所想要的数据包，或者是过滤掉我们不想要的数据包。还有我们最后举一个例子，来使用 wificak 这个 分析功能来分析这个 http 协议，因为 http 协议是一个我们最常见的网络协议，当然 vroxx 还提供了其他的 非常强大的功能。好，我们来先看一下这个 vrxx， 我们先启动这个 vrxcak。 好，启动这个工具。 好，启动工具以后我们可以看到 wifi 有这么这样一个界面，首先是一个菜单栏，接下来是工具栏，然后接下来提供了一个，这也是一个工具栏，我们这个地方主要是提供了一个 sut， 这有点是一个过滤器啊，我们可以在里头书写一个一些 wifi 的过滤规则，或者是通过这个， 那点击 futi 来调用这个窗口来设置这个过滤规则。然后后边是一个这个这个表达室，我们可以通过点击这个表达室来选择这个里边一些复杂的这些 表达是来过滤网络数据包，就是一个可丽尔是表示清除， flay 表示是应用。好，我们来看一下如何从网络来抓取数据包，我们来点击一下 这个，呃，第一个按钮，第一个按钮我们是显示了我们当前可以用的这个网卡的链接，我们可以看到这个在当前这台机器上我们有这么几个网卡。 好，可以看到一个是英特尔八二五五六这么一个千兆网卡，还有两个虚拟网卡。 好，我们可以看一下这个现在网络上这个网卡的流量，这个是流量好，我们来关闭，我们抓包可以使用。第二个， 好，这个第二个是设置抓取网络数据包。呃，这个里头有几个比较重要的设置啊？我们看一下，一个是选择这个网卡，这个默认有一个默认网卡，这个网卡实际上 并不会有数据不好产生啊，这个要通过这个下拉列表来选择我们对应的一个网卡，比如说我们选择这个，嗯，英特尔这个网卡，当前机器的这个物理网卡，然后我们选择抓包的类型啊，仪态网还是这个吉他的类型，还有这个 还有后边是一个数据缓冲啊，我们这默认是依照还有这个这个地方，这个参数比较重要，这个就是说我们使用这个杂臭模式来 抓数据包，这样的话就是会把网络上所有的数据包都抓到。呃，完了以后我们这还可以设置一个过滤器，过滤器我们在下一节会讲到。呃，当然过滤器还有非常复杂的文件啊，我们可以通过这个文件设置一个文件来， 这是我们要保存的位置，然后后边还有一些选项。好，我们选择好这个以后，可以点击这个开始按钮，然后来启动抓包，点击开始。 好，我们可以看一下，我们来敲一个链接，看看我们这个数据报，好，我们刚才在这个 ssh 这个界面敲了一个回车，我们可以看到 抓到几个数据包，嗯，这是因为我们这个数据包是在不断的，我们这个网络只要在使用的时候就会产生一些数据流量， 呃，也就是通过一个一个数据包进行数据传送的， vrox 会监测到我们的网卡，我们指定这个网卡来补货。数据包。好，我们如果我们好，我们在因为现在数据包比较少，我们可以 来看一个比较多的，我们在这这个里头我们就敲个这样，我们可以看一下，这样会产生非常多的数据包。 好，我们现在点击这个停止按钮，这个是停止这个抓包，我们点击一下停止，好，这个现在停止了抓包， 我们可以看到这个，这是我们抓到的数据包总共有多少个？这写了有七十四个啊。这个抓包结果我们来看一下，首先来说抓包有三个窗口，第一个窗口是 刷包的，这个所有包的这个列表每一条是一个包。然后第二个窗口是点击以后第一个窗口选择一个数据包，以后一个数据包的分析，这个是按照协议来分析的，一层一层来分析 好。然后第三个窗口是这个数据包的二进制，十六进制的一个打印的结果。啊，我们来看一下， 我们点击一个数据包，我们可以看到，呃，这个里边的介绍，嗯，我们先看到这个 flam， 我们当我们在选择这个的时候，这个 wifi 可会自动的 选择到这个我们这个条目对应的所有的字节，我看第二个，好，这个对应的是前边的这些字节。 好，我们来看一下这个，这个数据包的长度是五十四个字节。好，然后再看一下这个，这个是以太网协议，然后我们这个以太网协议，我们可以点击这个加号可以 解析啊，然后我们看到这个目标，哎，我们一点到这个的时候，就会显示出他这个目标的麦克地址啊，六个字节啊这一个地方，然后我可以简单的看一下， 包括这个地方连麦克地址的是否是这个呃，多播或者是主播都能解析出来。好，我们来看一下，然后再看一下这个原麦克地址，好，看，这个程序会自动选择 得到原麦克地址，然后后边是 apple， 就是这个零八零零十六进制的零八零零表示与胎网协议。 好，这是我们的这个麦克层，我们再看下 ip 层， ip 这一层，这个能解析 ipv 四、 ipv 六等多种协议 啊，包括 i、 smtp 这一层的协议都可以解析。这地方是一个 ipv 四的包，呃包长，包头长度是二十个字节，然后这个 dscp 的配置，我们这个上头配了一个默认字啊，全零啊，这是个一，这是一个的负责用来管理流量的一个信息，偷偷愣死是这个数据包的长度，是，就是数据的长度是，是四十个字节，包括了这个数据包的包头，还有一 一个标识完了是一些这个呃 ipv 死头用到的这些这些标志，包括有这个是否呃 包做分片等等。还有一个呃奥弗赛特的话是用于这个分片，如果分片的话，这会设置一个分片，就是这个包的数据在整个数据包的偏移啊，没有分片就是零，还有个 tdl， 就是我们常见的这个使用聘的时候 会遇到的一个直提铁啊，好，然后就是下一跳地址完了以后，下一层协议，我们带了一个 tcp， 然后还有一个这个 投的教验盒啊，这样写是是可以正确的。然后最后我们是 ip 地址啊，原 ip 地址，这是目的 ip 地址， 我们来看一下这个 tcp 协议， tcp 协议也列出来了，这个原目的原单口号是 ssh， 是一个 ssh 协议 完了以后，这个是目的端口号，然后还有一个序列号， c 库斯单本，还有核桃立直门单本。完了以后是头的长度，还有一些标识。 好，这个标识主要是用于这个 tcb 链接维护状态的，还有一个就是窗口大小，最后是这个拆个萨姆教验盒。好，我们看到这个数据包是一个用于控制的数据包，所以后边没有任何的数据， 我看到只有 tcp 头就完了，没有数据。好，我们来看一下啊，在这个数据包里头 wifi 上卡还能解析出 s s h 协议，我们可以看到这个，这个是一个加密的协议，所以对于这个直 vrsak 就无法解析了，但是已经比较智能，能识别出来这个内容。好，这是 vrxx 的一个基本操作。 好，我们来接着看一下如何使用过滤器。好，我们还是看刚才这个抓包结果 好，如果我们想看一下这个从本台机器发送的数据包啊，我们可以使用一个过滤规则。 我们在这个 beautiful 内写一下，我们设置 ip 点， s a， d， d， ipaddr 等于 幺九二点幺六八点一点幺二零，首先我们看一下，我们先过滤一下。呃，在这台机器上发生过的就是传送的数据包，因为我们在这个使用杂臭模式的时候，我们这个混杂模式，我们会监测到网络上的所有数据包。 好，我们来看一下，这样的话，我们这是一个输出，这是一个表达式，这个是 wifi 定的一种表达式， 这个表示 ip 的这个地址是否等于这个？幺九二幺六八一点幺二零。 呃，我们看到这个 feel， 它这个窗口的这个颜色，当这颜色变绿的时候，表示这个规则是有意义的。好，我们点击这个 flad 按钮应用一下。好，我们可以 看到这个是所有的结果，因为我们抓的包都是这个。呃地址的，所以我们可以看到这个结果没有改变。好，我们来看一下，我们可以设置，我们只看原端口，原 ip 的地址。 好，我们通过点击这个 expars， 我们来选择一下找到这个 ip 协议。好， ip， 好，这是 ip 协议，我们可以看到这个里头是 ip 协议的所有的这个定义，所有自断定义都在这。好，我们看到这个 sorc 表示原 ip 地址，我们可以在这写一下。 好，我们来这写一下，我们可以写把这个地方修改成 s 二 c， 我们点击回车，这样我们可以看到即是过滤完以后的数据包，这样的话，我们看这个数据包， 就是所有从本机发出的数据包，哎，都会被列出来，而其他的数据包就被过滤掉了。好，我们可以看到这是一个结果， 这是 wifi 可一个包过滤的简单条件。嗯，如果还有需要看更多的，更复杂的话，我们可以点击这个 expeps， 从这里头查找对应的协议，对应的自断。然后这个后边是他们之间的关系，就是我们在嗯，菲欧特这个过滤器里头可以使用的关系， 有这些关系我们都可以使用。好，我们来看一下如何使用这个。呃，分析 hdtp 协议。好，我们重新点击一下，我们先启动一个这个浏览器。 好，我们再点击 vrx。 好，我们点击抓包。 好，这还是我们刚才选择的这个网卡，我们点击开始抓包。呃，会给出一个提示，说是否保存上一次的，结果，我们这个地方不保存， 选择不保存。好，我们现在开始抓包了。好，我们来选择这个浏览器。啊，我们比如说我们登录一个网站，搜狐。好，我们点击回车。好， 现在这个网站正在打开网页。好，我们看一下这个 vrxx 的这个结果，我们可以看一下。 好，我们点一下这个克里尔，清除一下这个规则，因为有规则作用，所以这个刚才没有显示出来。好，然后大家可以看到这个结果，这是我们在抓到的数据包。好，我们现在停掉这个，把这个 网页关掉。好，大家可以看到数据包还在走， 还有流量。好，这是我们的一个结果，我们点击停止。好，我们打开搜狐这个网页，总共用了一千零一千四百零九个数据包。啊，我们可以 看到这是所有的这个链接。然后我们现在讲一下这个第一个窗口，第一个窗口有几个字段，第一个字段是这个南北，这个是 wifi 生成的一个序列号，就是按照他抓包的顺序， 然后还有一个时间就是从一开始抓包，并确保这个微秒一击，然后一直走，然后就是原 ip 地址，目标目的 ip 地址，这个四层的协议。 好，然后后边是这个协议的一些内容，如果能解析的话尽量解析。好，我们可以看到是这样的。好，比如说想看一下访问搜狐这个网站使用的这个链接。啊，我们看一下这个， 我们找一下这个 cic 这种 tcp 的这种七十数据包。好，我们找一下，我们点击 这个是我们的一个访问。好，我们从这个地址进行访问，我们先过滤一下这个数据，报 好，我们哦，我们使用的是这个地址。好，我们来看一下，我们首先使用建立连接向搜狐发起连接。 好，我们来点击一下，我们可以看一下这个使用 followtcp 的，这个看一下。好，我们可以看到这个结果。 pologacpisgem 以后，我们会看到一个输出结果，这个输出结果就是在当前这个链接上的这个数据包，在这个链接我们身上产生了四个数据包，这是他的链接过程，我们可以从这个地方可以看出 是这个地方向他发出了一个链接，完了他做了回应。好，这是数据的传输，中间这两个是数据的传输。 好。通过这个我们可以看到一个 tcb 的链接。 好，因为这个 hdtp 协议就是一个 tcp 的链接，我们把它清除掉，还是我们原来的结果，我们来统计一下这个 http。 好，我们看一下这个，再找一个链接。 好，我们再找一下新艾克这种链接 好，我们来看一下 protcp。 好，这个是我们打开网页的一个链接，首先我们可以看一下，我们把窗口拖到合适的位置。 好，我们看一下。首先是一个第一个数据包，是我们使用了 get 方法获取了一个网页文， 然后这是搜狐这个服务器的返回啊，两百 ok， 表示这个页面请求成功，返回了页面的内容，当然这是请求了一个，我们看一下什么类型啊？是一个一秘制，我们请求了一个，这是网页上的一个图片， 所以他返回的是一个金瑞普的。好，这是一个加密的，我们看到这是他的返回结果。这，这后边这是网页的返回结果，这是一个二进制数据， 可以看到。好，通过这个不要下口，我们可以使用比较简单的来分析这种网络协议。好，我们关闭这个，我们可以看到这个 安德拉这个菜单里头我们还有非常复杂的这些设置可以分析网络协议。还有一个统计菜单，提供了许多协议的统计，我们可以看到好 玩，萨克芝士的协议也非常的多，我们可以看一下这个 ceo 摊里边啊，这就是我们最常见的几种协议，还有这个 exprase 这个按钮里头提供的相当多的协议，这都是我们都可以使用。 这个 wifi 可是一个网络分析比较强大的工具，在分析网络的工作环境，还有网络判断网络故障的时候非常有用， 大家可以通过自己的实践来不断的提高自己使用 wifiit 的这个应用能力。好， wifiic 的操作我们就讲到这里。

别再只会傻傻地用 yeshark 身为网络工程师，别再只会用 yeshark 了。今天给大家推荐几个比 yeshark 更好用的工具。一、 savvy somme peak 来自 savvy somme peak 是付费使用的， 但他有三十天免费试用。与 y 二十二个一样， on the pick 实际上并不收集数据包，但 on the pick 分析能力用于 y 二十二、 on the pick 是网络管理系统加抓包工具的组合 合体。二、 atocarp atocarp 可以免费使用，侧重系统防御的功能。 atocarp 与 wire shark 的可移植性相匹配，因为它可以在 windows， linux， unix 和 macos 上运行。 三、 kissme kisme 无法拦截有线网络上的数据包，但它非常适合无线数据包。噢探该软件适用于 linux， unix 和 mac 和 mac。 四、 smart sniff smart sniff 适用于 windows 环境，而且适用于有线网络，可免费使用。 smart sniff 的收集器可以在无线网络上运， 但只能在那些包含成在噢叹气程序的计算机的 wifi 系统上运行物 either ape either ape 依然免费，也可在 lennox， unix 和 macos 上运行。它主要是通过收集设备的消息来创建网络地图，网络上的主机在地图上绘制并标有其 ip 地址。 这里给大家整理一份四十 g 的网工资料包，包括网工入门课程、各大软件安装包、实验配置命令、故障排查手册、网工学习课外书、华为认证题库领取方法放在评论区，需要的小伙伴可以自行获取。

今天我们再做一下三六 d 杯，暗中观察，下载一个附件 dump， 然后看见没有后缀，我们直接把它拖进泥泞摆地摊。我们看到这个文件头， 这是这个用沃尔萨卡这个流量分析，那么不知道，不知道的情况下，我们可以百度 直接搜索这个文件头，什么意思？结果这里就会显示就是 pcp， 也就是这个流浪分期的这个流浪。 那么如果没有网也不要紧，只要是我们这个卡里里面 装有这个 worshake， 直接放进去他就能识别到，我们为什么要放到卡里里面呢？因为是这里面发现 搜索到了五零四 b 零三零四，那么这是什么？就是一个 z 的压缩包，然后我们把它放进冰 walk 拆分 帝王， 那么拆分出来， 打开二幺六 af 这个压缩包，压缩包里面有一个 flag 点 txt， 但是他是加了密的， 怎么办呢？密码肯定就在他这个流量包里，那么我们把它，我们就在 windows 家吧，把它放进 war shark， 正常来，正常来讲，我的习惯是先看 扮演 http， 那么这里有一个 pose 的， 我们再看一下他的 hdp 流， 大家看这里 他有个网址，而且这里面我看从哪开始，从这里面 有可能这个就是一个密码， 然后前面在哪里肯定有显示用户名， 不确定对不对？那么我们直接把这个网址复制 粘贴， 是一个登录的窗口，那么你试一下一二三，抓一个包，哎，哪去了？抓一个包， 你们看一下我打的一二三， 这样我把这一块给他复制粘贴进笔记本里边 看一下，啊， 这个值就是我输入的密码，那么他的密码我刚才输的一二三，这个位置对应 波莎和这个包领，看一下是不是一样的 t e q t b z 那么我们猜测这个就是他登录窗口的密码，你把它复制， 然后先放通喷，哪不正确登录， 那么登录进来了，既然这个密码可以登录进来，我们就猜测这个密码 有没有可能是这款压缩包的密码， 我们试一下粘贴，但居然成功了，没有提示错误，然后打开这个，那估计就是 flag 了。 把他提交一下，那么这道题都做完了，这道题需要一些脑洞，而且需要对这个磨砂有基本的一些理解就够了。

黑客是如何知道你信息的？我要 shark 一款强大的流量分析工具，黑客可以利用他对网络的流量进行分析。如果你连过公共场所免费网络，以访问的网站、登录的账号和输入的密码，就极有可能被黑客补货分析学习的进粉丝群哦。 当然密码一般都是密文传输，并不是捕捉到就能够破解。不过斑斑在这里还是提醒大家，尽量不要连接陌生场所的网络哦。