干货 | 一篇文章教你如何成为抓包高手!

admin 2024年11月10日21:10:40评论7 views字数 3382阅读11分16秒阅读模式
Wireshark是目前使用最广泛的网络抓包分析工具,也是每一位网络攻城狮电脑里必装神器。当网络里发现恶意攻击、某人下载流量过大、设备互联丢包、协议交互失败等等情况时,通过Wireshark抓包定位问题根源,是最直接有效的手段。

然而如此强大的工具,你能发挥出其真正的功能吗?你是否也会遇到以下尴尬的情况?

  1. 问题出现时间极不固定,甚至10天才出现一次,你会一直守着抓?
  2. 数据流量太大,才抓几秒钟就达到了几百兆的抓包文件,然后系统卡死?
  3. 报文抓到了,但是报文杂乱无章,从何看起?
干货 | 一篇文章教你如何成为抓包高手!

《400技术汇》第一期,教大家如何成为网络抓包高手,以Wireshark Version2.2.5为例,请看菜单:

1.过滤器捕获技巧

2.过滤器显示技巧

3.借用命令行进行长时间抓包

4.将TXT文件转为pcap文件

5.调整自适应列宽显示

6.抓包文件报文交互过程分析

7.通过抓包MAC地址确认设备厂商

8.抓包文件数据包统计分析

9.报文数据字段解码

10.抓包文件“瘦身”技巧

干货 | 一篇文章教你如何成为抓包高手!

 

01

过滤器捕获技巧

小Q在某企业网发现外网用户telnet到出口设备,不定时出现回显不全,决定抓取telnet数据包分析,用Wireshark捕获了接口所有数据包,2分钟后抓包的电脑死机了,由于流量很大,有用的数据包一个都没有,怎么办呢?

来来来,看捕获过滤器大显身手,轻松解决小Q的难题,操作步骤如下:

(1)依次打开“捕获”→“选项”,选择对应的抓包接口,“所选择接口的捕获过滤器”栏输入过滤表达式,如下图:

干货 | 一篇文章教你如何成为抓包高手!
(2)在捕获数据包的窗口中可以看到经过捕获过滤器后的数据包,如下图:

干货 | 一篇文章教你如何成为抓包高手!
(3)捕获过滤表达式的格式:【逻辑运算】+【协议】+【方向】+【类型】+【值】

  • 逻辑运算:and、or、not
  • 协议:ether、ip、icmp、arp、tcp、udp等
  • 方向:src、dst、src and dst、src or dst
  • 类型:host、net、port、portrange等

常用的捕获过滤表达式如下表:

干货 | 一篇文章教你如何成为抓包高手!
02

过滤器显示技巧

小Q在某城域网出口路由器上发现很多telnet尝试登录失败的日志,便在出口开启抓包,2小时后得到100M的抓包文件,筛选出全部telnet的数据包分析,逐个去找估计小Q可以看到凌晨3点钟的星空了,使用显示过滤器便可得心应手,说不定还能在傍晚散步看夕阳。

(1)Wireshark打开抓包文件后,在“显示过滤器”栏输入过滤表达式,便可得到经过显示过滤器后的数据包,如下图:

干货 | 一篇文章教你如何成为抓包高手!
(2)磨刀不误砍柴工,常用的显示过滤表达式,如下表:

干货 | 一篇文章教你如何成为抓包高手!
03

借用命令行进行长时间抓包

小Q在某酒店遇到认证服务器侧提示计费服务器down掉的问题,复现的周期是7天,决定通过抓包判断是接入设备和服务器之间链路问题导致,还是服务器未及时处理radius报文导致。

小Q在iMC服务器网卡抓包,2个小时后发现Wireshark挂死,辛辛苦苦抓下来的包还没保存就没了,咋办呢?莫慌,命令行抓包一招就能搞定!它是直接写硬盘,不会造成内存溢出问题和进程挂死,操作步骤如下:

(1)ipconfig查看抓包网卡的描述,如下图:

干货 | 一篇文章教你如何成为抓包高手!
(2)cd切换到Wireshark的安装目录下,tshark -D查看抓包网卡索引号,如下图:

干货 | 一篇文章教你如何成为抓包高手!
(3)输入tshark命令开启抓包

第一种情况是问题出现的时间不确定,频率较低,几小时或几天出一次,硬盘空间有限,我们采用循环抓包法,持续抓包生成指定个数和指定大小文件,超过指定文件个数就覆盖,循环利用硬盘空间。例如:抓包文件大小每100KB后自动新建一个文件,文件个数为10个,保存到D盘根目录,超过后自动替换(共占用1M空间),输入命令“tshark  -b  filesize:100  -b files:10  -w  d:/yhy1m10.pcap  -i  1”(-b 循环抓包;Filezise:每个分包大小(KB);Files:总分包个数;-w  保存的文件路径及文件名称;-i  网卡接口号),如下图:

干货 | 一篇文章教你如何成为抓包高手!
第二种情况是问题定位需要长时间抓包,硬盘的空间足够,希望分析抓包网卡全部数据,我们可以采用持续抓包法,持续抓包不断生成指定大小文件,直到硬盘空间满了为止。例如:每个文件大小20M,保存到D盘根目录,输入命令“tshark  -b  filesize:2000  -w  d:/ yhy20m.pcap  -i  1 ”,待问题复现后,ctrl+c停止抓包。

(4)到指定文件目录下获取抓包文件分析即可,下图是循环抓包的文件:

干货 | 一篇文章教你如何成为抓包高手!
04

将TXT文件转为pcap文件

小Q在某电站发现上送设备CPU的报文总是超时,打开调试开关,得到原始二进制数据调试信息,一脸茫然,两眼发愣,如下图:

干货 | 一篇文章教你如何成为抓包高手!
小Q求助热心的小Y,2分钟后收到小Y发过来的.pcap的抓包文件,打开一看,报文各字段一目了然,如下图:

干货 | 一篇文章教你如何成为抓包高手!
追求上进的小Q感激之余,睁大眼睛看小Y重新操作了一次,步骤如下:

(1)将调试信息保存为.txt文件放到Wireshark的安装根目录

(2)cd命令切换到Wireshark的安装根目录,如下图:

干货 | 一篇文章教你如何成为抓包高手!
(3)调用text2pcap.exe程序,将.txt文件转换为.pcap文件,如下图:

干货 | 一篇文章教你如何成为抓包高手!
05

过滤器捕获技巧

小Q是个爱钻研的工程师,很喜欢分析数据包,但是打开抓包文件后经常发现显示窗口列是重叠,如下图,源目ip地址都看不完整:

干货 | 一篇文章教你如何成为抓包高手!
当然可以手工拉动来调整,但不够美观且耗费时间,简直逼死强迫症,于是求助“功力深厚”小Y分享一下“内功心法”。小Y向小Q演示,哇!一键解决,快捷键ctrl+shift+R(自动调整列框,或者“视图”→“ 调整列宽”),既美观又省时省力,如下图:

干货 | 一篇文章教你如何成为抓包高手!
06

过滤器捕获技巧

小Q在某职院处理一个认证异常问题,需要分析radius报文交互情况。小Q先画图,再将报文一个一个标注出来,然后对比标准协议交互过程来分析。要是协议复杂,报文数目众多,小Q想画图标注就很费劲,可能还看不清楚。Wireshark中流量图工具,可以帮助小Q完成这个画图标注过程,打开抓包文件后,“统计”→“流量图”,“显示”选“显示的分组”,如下图,对比标准radius协议交互过程就能清晰看出哪个过程有问题。

干货 | 一篇文章教你如何成为抓包高手!

干货 | 一篇文章教你如何成为抓包高手!
07

过滤器捕获技巧

小Q在部署WLAN时使用Wirelessmon扫描,发现有个别MAC地址为00:74:9C开头的无线SSID和自己工作在同一信道,功率很大,对自己的干扰很大。小Q很好奇,想知道是哪个厂商的AP呢?MAC地址前3个字节是设备厂商标识符,可以通过它来确定所属厂商,小Q想起了Wireshark安装目录下的manuf文件作用,一查发现00:74:9C对应的是R厂商,如下图:

干货 | 一篇文章教你如何成为抓包高手!
08

抓包文件数据包统计分析

某商场网络流量异常,负责项目的小Q到现场后先用Wireshark抓包15分钟,分析时发现数据包有80M,手工统计的话效率太低,粗略浏览凭感觉又不靠谱,怎么破呢?

强大的Wireshark还是有招应对的,“统计”→“会话”,分别按数据包个数和字节大小统计,很快可以看到是哪些ip地址之间的流量是最大的,后续重点排查这些ip即可,如下图,10.63.16.77和10.88.14.119流量是最大的。

干货 | 一篇文章教你如何成为抓包高手!
09

报文数据字段解码

小Q在某火车站排查服务器一直收不到防火墙发出userlog日志问题,想确认一下是服务器无法解析还是userlog数据包没有到服务器,于是在服务器网卡开启抓包观察:

(1)乍看一眼,不是userlog数据包,看山不是山,如下图:

干货 | 一篇文章教你如何成为抓包高手!
(2)小Q注意查看防火墙上userlog的端口不是默认的,机智的小Q恍然大悟,“分析”→“解码为”,选择端口和对应的协议userlog,如下图:

干货 | 一篇文章教你如何成为抓包高手!
(3)小Q欣喜了,清晰地看到了userlog数据包的各字段,如下图,看山还是山,服务器收到了userlog数据包,只是无法解析。

干货 | 一篇文章教你如何成为抓包高手!
10

抓包文件“瘦身”技巧

勤奋的小Q最近在学习http协议,需要从50M的抓包文件中筛选出http协议保存出来,更精巧地插入word文档中,方便查阅。

(1)使用显示过滤器过滤后,数据包还是比较多,“文件”→“导出特定分组”,选择“all packets”和“displayed”,保存,如下图:

干货 | 一篇文章教你如何成为抓包高手!
(2)如果仅需要保存个别数据包,“标记分组”→“ 文件”→“ 导出特定分组”,选择“marked packets”和“displayed”,保存,如下图:

干货 | 一篇文章教你如何成为抓包高手!

 

 

原文始发于微信公众号(马哥网络安全):干货 | 一篇文章教你如何成为抓包高手!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月10日21:10:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   干货 | 一篇文章教你如何成为抓包高手!http://cn-sec.com/archives/3380314.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息