打开后界面如图,下方为选择需要抓取的网卡。上方为过滤器,为了显示指定类型的包
在上方搜索栏输入dns,就可以筛选只显示dns报文
其中每一行都是一个数据包
source:包的源IP地址
Destination:包的目的地址
protool:包的类型
info:包中的信息
ICMP报文判断故障
ICMP主要用于判断网络是否联通,如果不通能告诉我们原因。
错误原因是依靠ICMP包内的type+code通过故障代码判断原因
1.windows server的地址为172.16.1.123对端设备为100.100.100.100
问:此时windows server是否能ping通100.100.100.100。如果不通又会报什么错误,有多少错误类型
答:ping不通,会报传输失败,常见故障。
故障类型和现象
一般都是没有配置网关,造成传输失败,常见故障【没配置网关】
如果配置了网关,但是无法寻找到网关。来自(本机地址):无法访问主机地址【发送ARP失败,无法找到网关】
配置了网关,也能找到网关 。来自网关:无法访问目标网络【网关没有到目标地址的路由】
配了网关,也能找到网关。网关也有目标路由,但是后面的设备没有目标路由。此时有两种情况
1.后面的设备,有回包路由,但是没有目的地路由。报错:来自(缺少路由的设备),无法访问目标网络
2.后面的设备,没有回包路由,也没有目的地路由。报错:超时(因为无法收到具体的报错提示)
如果A ping B无法ping通,但是B ping A能ping通。故障原因:不通的设备防火墙禁ping【防火墙】
基于端口的过滤
每个包中都有两个端口号,src port源端口号,dst port目的端口号
1.tcp.port==443
过滤tcp端口为443的包
2.tcp.srcport==443
过滤源端口为443的包
3.tcp.dstport==443
过滤目的端口为443的包按照协议类型抓包
直接在搜索框内输入对应协议名称,例如(DHCP、ARP、HTTPS)
规则组合
and
如果想看DHCP,并且指定想看某台电脑的DHCP包
DHCP and eth.addr==80-FA-5B-6E-53-05
or
如果想看DHCP或ARP
DHCP or ARP
或者,例如(DHCP或ARP)
!(非,意思就是除了)
想看除了arp以外的其他包
!ARP注意:对于华为模拟器来说,不能直接抓取服务器上的接口,但是可以抓取下联交换机上的端口
对于华三交换机来说,抓取端口上的报文时。并不会实时更新只会分析之前的包,只能开启抓包后先进行ping包然后进行分析
基于IP地址的过滤
1.源IP地址过滤
ip.src==xxxx.xxxx.xxxx.xxxx
可以看到源IP地址为指定IP的包
2.目的地址过滤
ip.dst==xxxx.xxxx.xxxx.xxxx
3.想看源地址或目的地址为192.168.0.7
ip.addr==192.168.0.7
基于MAC地址的过滤
4.查看源mac地址为80-FA-5B-6E-53-05的包
eth.src==80-FA-5B-6E-53-05
5.查看目的mac为80-FA-5B-6E-53-05的包
eth.dst==80-FA-5B-6E-53-05
6.查看源mac地址或者目的mac地址的包
eth.addr==80-FA-5B-6E-53-05
评论