然而如此强大的工具,你能发挥出其真正的功能吗?你是否也会遇到以下尴尬的情况?
- 问题出现时间极不固定,甚至10天才出现一次,你会一直守着抓?
- 数据流量太大,才抓几秒钟就达到了几百兆的抓包文件,然后系统卡死?
- 报文抓到了,但是报文杂乱无章,从何看起?
《400技术汇》第一期,教大家如何成为网络抓包高手,以Wireshark Version2.2.5为例,请看菜单:
2.过滤器显示技巧
3.借用命令行进行长时间抓包
4.将TXT文件转为pcap文件
5.调整自适应列宽显示
6.抓包文件报文交互过程分析
7.通过抓包MAC地址确认设备厂商
8.抓包文件数据包统计分析
9.报文数据字段解码
10.抓包文件“瘦身”技巧
来来来,看捕获过滤器大显身手,轻松解决小Q的难题,操作步骤如下:
- 逻辑运算:and、or、not
- 协议:ether、ip、icmp、arp、tcp、udp等
- 方向:src、dst、src and dst、src or dst
- 类型:host、net、port、portrange等
常用的捕获过滤表达式如下表:
小Q在某城域网出口路由器上发现很多telnet尝试登录失败的日志,便在出口开启抓包,2小时后得到100M的抓包文件,筛选出全部telnet的数据包分析,逐个去找估计小Q可以看到凌晨3点钟的星空了,使用显示过滤器便可得心应手,说不定还能在傍晚散步看夕阳。
小Q在iMC服务器网卡抓包,2个小时后发现Wireshark挂死,辛辛苦苦抓下来的包还没保存就没了,咋办呢?莫慌,命令行抓包一招就能搞定!它是直接写硬盘,不会造成内存溢出问题和进程挂死,操作步骤如下:
第一种情况是问题出现的时间不确定,频率较低,几小时或几天出一次,硬盘空间有限,我们采用循环抓包法,持续抓包生成指定个数和指定大小文件,超过指定文件个数就覆盖,循环利用硬盘空间。例如:抓包文件大小每100KB后自动新建一个文件,文件个数为10个,保存到D盘根目录,超过后自动替换(共占用1M空间),输入命令“tshark -b filesize:100 -b files:10 -w d:/yhy1m10.pcap -i 1”(-b 循环抓包;Filezise:每个分包大小(KB);Files:总分包个数;-w 保存的文件路径及文件名称;-i 网卡接口号),如下图:
(4)到指定文件目录下获取抓包文件分析即可,下图是循环抓包的文件:
小Q在某电站发现上送设备CPU的报文总是超时,打开调试开关,得到原始二进制数据调试信息,一脸茫然,两眼发愣,如下图:
(2)cd命令切换到Wireshark的安装根目录,如下图:
小Q是个爱钻研的工程师,很喜欢分析数据包,但是打开抓包文件后经常发现显示窗口列是重叠,如下图,源目ip地址都看不完整:
小Q在某职院处理一个认证异常问题,需要分析radius报文交互情况。小Q先画图,再将报文一个一个标注出来,然后对比标准协议交互过程来分析。要是协议复杂,报文数目众多,小Q想画图标注就很费劲,可能还看不清楚。Wireshark中流量图工具,可以帮助小Q完成这个画图标注过程,打开抓包文件后,“统计”→“流量图”,“显示”选“显示的分组”,如下图,对比标准radius协议交互过程就能清晰看出哪个过程有问题。
、
小Q在部署WLAN时使用Wirelessmon扫描,发现有个别MAC地址为00:74:9C开头的无线SSID和自己工作在同一信道,功率很大,对自己的干扰很大。小Q很好奇,想知道是哪个厂商的AP呢?MAC地址前3个字节是设备厂商标识符,可以通过它来确定所属厂商,小Q想起了Wireshark安装目录下的manuf文件作用,一查发现00:74:9C对应的是R厂商,如下图:
强大的Wireshark还是有招应对的,“统计”→“会话”,分别按数据包个数和字节大小统计,很快可以看到是哪些ip地址之间的流量是最大的,后续重点排查这些ip即可,如下图,10.63.16.77和10.88.14.119流量是最大的。
勤奋的小Q最近在学习http协议,需要从50M的抓包文件中筛选出http协议保存出来,更精巧地插入word文档中,方便查阅。
原文始发于微信公众号(马哥网络安全):干货 | 一篇文章教你如何成为抓包高手!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论