用wireshark时,大多数情况下我们都是用的电脑自带的无线网卡,所以只能抓取到流经本机网卡的网络包。也就是说除了局域网内的广播包外你无法抓到其他设备的网络包。除非你买一个专用usb抓包网卡,这里不讨论这种情况。
比如我们希望抓取局设备dev1和云端server通信的数据,我们需要用自己的电脑开一个热点(Ap),即建立一个私有的局域网。dev1做为(Station)连接到Ap。这样当我们在自己的电脑上运行wireshark时就可以抓到dev1和server的通信数据了。
其实在局域网内抓包并不是个容易的事,上面的情况是Dev1和server通信的情况下wireshark可以抓到包,但如果我们需要抓取局域网内两个设备Dev1和Dev2之间通信数据的话,这种情况就无法抓取了。
明明在同一个局域网,为什么PC上的wireshark无法抓取Dev1和Dev2的通信呢?原因正是因为Dev1和Dev2在同一个局域网的原因,它俩的通信数据在经过PC的网卡时只涉及Mac层,压根就不会进入PC的IP层协议处理,所以运行在PC上的wireshark自然就看不到任何数据了。而Dev1和server通信的情况就不同了,它需要PC将数据路由至外网的server,需要路由的数据必然会经过IP层协议,所以wireshark能够很好的抓取二者的通信数据包。
我这里理解你的cap包指的就是wireshark抓到的数据包,以后简称数据包。以此回答问题如下:
1、如何分析数据包这个问题要看你分析的是什么协议的包,不同的目的对应不同的分析方法,但是有一些是基础的,他们是通用的。
2、在用wireshark打开数据包后,默认界面一般分为上中下三部分,上面是数据包的列表集合,每一行代表一个交互消息。如果选中其中一条,则会在中间那一部分展开这一条的详细内容,分析主要就看这一部分。最下面的是原始消息的二进制表达法,我一般都不看,不分析,直接忽略的。
3、分析数据包先要有个基本的概念,就是OSI的7层数据模型,从低往高依次:物理层,数据链路层,网络层,传输层,(会话层,表示层),应用层。wireshark解析过的消息也是按照这个顺序展示的。不过具体应用时,会话层和表示层基本都不用,大多数都直接过渡到应用层,有的甚至没有应用层,没有传输层,网络层等,但是物理层和数据链路层一般都是有的。
4、MAC地址是数据链路层,也就是第二层的概念,如果要看他的信息,就需要在第二层找,也就是你上图图中间那部分,可以看到有2行,第一行是物理层信息,第二行就是数据链路层,MAC地址信息就在第二层查找,每一层都可以双击打开,查看更详细的信息。
5、IP地址是网络层,也就是第三层的概念,如果你的网卡根本就没获取到IP地址,那么你抓的数据包中是不可能有这些信息的。就像你图中展示的一样,根本就没有三层的信息,说明你网卡根本就没获取到IP地址,所以,不可能有IP地址信息。
6、我给你截了个相对完整的截图,如下:
先看图的上半部分,可以看到我选择的是一条DNS查询消息(灰色部分为选中的交互消息),再看该消息的详细部分,也就是图的下半部分,从图中可以看出共五条(行),分别对应OSI模型中的物理层,数据链路层(MAC地址所在层),网络层(IP地址所在层),传输层(确定是通过UDP传输还是TCP传输),和应用层(确定应用协议,在这里应用协议是DNS协议)。
7、不知道回答是不是你想要的,如果我理解有偏差可以追问。希望以上信息对你有用。
在菜单栏中选CAPTION中的OPTION,选择你的网卡,就是有IP地址的那个,然后在CAPTURE FILTER中写tcp(小写),点start,然后就开始抓包,TCP应用的地方很多,随便浏览网页都能抓到包。IP协议时TCP的上层协议,不论是抓TCP或UDP的时候都会抓到IP协议的信息。
wireshark能看到的才可以。ip可以看到,网关可以通过信令上推断,因为跟外部机器通讯需要走网关的。但是子网掩码好像哪个字段都没有的,推断起来也很麻烦的。
wireshark不是万能的。
如果你使2113用wireshark,ipaddr
==
192168216100
&&
ipaddr
==
192168216168;你可以可以试试5261基于进程抓4102包工1653具QPA,QPA按进程抓包,可以省内去编写过容滤规则。
以上就是关于用wireshark抓无线局域网(wlan)里设备的数据全部的内容,包括:用wireshark抓无线局域网(wlan)里设备的数据、高分求助wireshark 如何分析cap包!!!想知道MAC和IP什么的!!!、wireshark 怎么抓取TCPip等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)