计算机网络分层 -

mars5337

浏览: 89310 次
性别:
来自: 北京

最近访客更多访客>>

hillsoul

xujie381

jackzou

lwf4423

博主相关

博客

微博

相册

留言

关于我

文章分类

全部博客 (58)

社区版块

存档分类

计算机网络分层

网络应用网络协议数据结构互联网

五层 结构 
应用层 运输层 网络层 数据链路层 物理层 

七层结构 
应用层 表示层 会话层 运输层 网络层 数据链路层 物理层 

TCP/IP体系结构 
应用层 运输层 网际层（ip） 网络接口层 

TCP/IP体系结构 是微软的，也是现在互联网实际运用最广的。

wireshark：

Capture Option对话框
1、Interface（接口）和Link-layer header type（链路层头部）类型选项
2、Limit each packet to N bytes(将每个分组限制在N个字节以内)
3、Capture packets in promiscuous mode（在混杂模式下捕获分组）
4、Filter（过滤器）
5、Capture files（捕获文件）
6、Display Options（显示选项）
7、Stop Capture（停止捕获）
8、Name resolution（名字解析）
帧层（Frame）
在帧层（Frame），Wireshark记录真实的捕获时间、第一个分组与前一个分组的相对时间增量、帧序号、分组长度以及捕获长度。
以太网帧层
以太网的首部占用14字节，6字节目的地址和6字节源地址，2字节表示类型。
例如：以太网的类型为（08 00）。
IP层
传输层
TCP头部是20个字节。2个字节源端口和目的端口。4字节的序列号，4字节确认号。1个字节的数据偏移和标记。2个字节的窗口大小，2个字节的校验和，2个字节的紧急指针。
源端口：指定了发送端的端口
目的端口：指定了接受端的端口号
序号：指明了段在即将传输的段序列中的位置
确认号：规定成功收到段的序列号，确认序号包含发送确认的一端所期望收到的下一个序号
TCP偏移量：指定了段头的长度。段头的长度取决与段头选项字段中设置的选项
保留：指定了一个保留字段，以备将来使用
标志：SYN、ACK、PSH、RST、URG、FIN
SYN： 表示同步
ACK： 表示确认
PSH： 表示尽快的将数据送往接收进程
RST： 表示复位连接
URG： 表示紧急指针
FIN： 表示发送方完成数据发送
窗口：指定关于发送端能传输的下一段的大小的指令
校验和：校验和包含TCP段头和数据部分，用来校验段头和数据部分的可靠性
紧急：指明段中包含紧急信息，只有当U R G标志置1时紧急指针才有效
选项：指定了公认的段大小，时间戳，选项字段的末端，以及指定了选项字段的边界选项

Wireshark过滤规则：

一、IP过滤：包括来源IP或者目标IP等于某个IP
比如：ip.src addr==192.168.0.208  or ip.src addr eq 192.168.0.208 显示来源IP
        ip.dst addr==192.168.0.208  or ip.dst addr eq 192.168.0.208 显示目标IP

二、端口过滤：
比如：tcp.port eq 80 // 不管端口是来源的还是目标的都显示
        tcp.port == 80
        tcp.port eq 2722
        tcp.port eq 80 or udp.port eq 80
        tcp.dstport == 80 // 只显tcp协议的目标端口80
        tcp.srcport == 80 // 只显tcp协议的来源端口80

过滤端口范围
tcp.port >= 1 and tcp.port <= 80

三、协议过滤：tcp
udp
arp
icmp
http
smtp
ftp
dns
msnms
ip
ssl
等等
排除ssl包，如!ssl 或者  not ssl

四、包长度过滤：
比如：
udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
tcp.len >= 7  指的是ip数据包(tcp下面那块数据),不包括tcp本身
ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
frame.len == 119 整个数据包长度,从eth开始到最后

五、http模式过滤：
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”

// GET包
http.request.method == “GET” && http contains “Host: ”
http.request.method == “GET” && http contains “User-Agent: ”
// POST包
http.request.method == “POST” && http contains “Host: ”
http.request.method == “POST” && http contains “User-Agent: ”
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: ”
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: ”
一定包含如下
Content-Type:

六、连接符 and / or

七、表达式：!(arp.src==192.168.1.1) and !(arp.dst.proto_ipv4==192.168.1.243)

分享到：