突然发现为什么我写的都是初探初窥初心者向之类的东西
当然是因为我菜啊QAQ

工具

---

• Wireshark
  基本上这篇文章都是用的wireshark，所以也可以看作一个wireshark使用指南（雾
  虽然wireshark在渗透的时候不如burpsuite功能丰富，但是在流量数据分析方面十分好用，可谓网络工程师手里的万用表。

wireshark界面&基本用法

---

参照我之前写的CTF工具篇

统计工具的功能

---

菜单栏里有个统计按钮，利用下面的子菜单可以呼出不少有用的功能

• 捕获文件属性：可以查看当前捕获数据包的时间、接口、分组大小等
• 协议分级：可以显示各级协议所占比重
• 对话
• 请求
• 等等......

筛选HTTP流量

---

1. 基于名称的HTTP显示过滤器
   • 过滤指定域名：只显示选定域名的过滤器写法http.host==www.xx.com
   • 过滤包含的指定域名：以百度为例http.host contains baidu
   • 过滤Referer头部内容：http.referer=="http://www.baidu.com/"
2. 基于HTTP请求方法的显示过滤器
   • 只显示GET请求的数据包：http.request.method==GET，post同理
   • 显示所有请求数据包：http.request，同理所有响应包http.response
   • GET除外的数据包：http.request and not http.request.method==GET
3. 基于HTTP状态码的显示过滤器
   • 显示包含HTTP错误状态码：http.response.code>=400
   • 显示包含HTTP客户端错误状态码：http.response.code>=400 and http.response.code<=499，同理服务器端的就在500到599之间
   • 只显示状态码为400的：http.response.code==404

导出HTTP对象

---

单击“文件”->“导出对象”->“HTTP”，即可弹出HTTP对象列表窗口，会列出被访问的web站点名称，以及各web站点上被访问过的文件信息

利用Follow TCP Stream窗口分析Http数据流

---

如图在待分析HTTP流中右键点击追踪流->tcp流

ws1.PNG

之后就会弹出如下窗口，在里面可以看到该HTTP流中的详细包信息

ws2.PNG

利用IP流量分析工具

---

• 进入统计-->端点

• 勾选解析名称。通过这个工具，可以了解到探测到的所有与第二、三、四层端点有关的统计信息，通过这些信息可以很好地解释一些现象

  
  捕获.PNG

未完待续XDDDDD