玩命加载中 . . .

WireShark简单使用


Wireshark基础

1.wireshark 的使用场景

1.1 远程捕获:
  • 拥有服务器权限时:
    • 在目标服务器使用wincap,将数据发送到一个地址
    • 使用wireshark创建一个新的网卡进行监听(捕获 –> 选项 –> 管理接口 )
    • 使用wireshark分析流量
  • 拥有交换机权限时:
    • 使用端口镜像功能(在交换机上进行配置)
    • 配置
  • 没有权限时:ARP 欺骗
    • arpspoof
    • cain
    • ettcap
  • 网络分路器:硬件
1.2 本地捕获:
  • Rawcap:抓取本地还回地址(127.0.0.1)
1.3 虚拟机流量捕获:
  • 直接选择相应的网卡

2.显示过滤器

2.1 打开方式
  • 过滤器工具栏(主页面工具栏下方(比较常用))
  • 分析 ==> Display Filter (显示过滤器)
  • 分析 ==> Display Filter Expression(显示过滤器表达式)
  • 点击相关数据包后,选择某一字节作为过滤器(数据包细节面板)
2.2 语法(伯克利包过滤规则)
  • 官方手册:https://www.wireshark.org/docs/wsug_html_chunked/
  • 过滤器表达式由一个或多个原语组成。原语通常由一个id(名称或数字)和一个或多个限定符组成
    • type:限制id名称,例如:host、net、port、portrange
    • dir:表示方向,例如:src、dst、src and dst、 ra、ta、addr1、addr2
    • proto:限制协议,例如:ether、fddi、 tr、 wlan、 ip、 ip6、 arp、 rarp、 decnet、 tcp and udp.
  • 顺序:[proto] [dir] [type]
  • 特殊的过滤方法:ip[12:4]
  • 常用规则:

3.时间显示功能

4.自定义显示列

5.地址解析

6.内部协议及识别协议的方法

7.显示过滤器

8.统计及绘图

9.防火墙规则和 lua语言

10.专家信息

11.TCP追踪流

12.协议分级–conversation–流量图等

  • 流量图需要配置:

    • 首选项 ==> protocol
    • 通过对协议的显示进行配置,打开或关闭某些功能,具体使用看环境

13.首选项

14. 针对交换机的攻击

  • MAC地址欺骗
  • MAC地址泛洪攻击
    • CAM表满了以后,退化为集线器,进行广播
    • 分析抓包文件后发现几乎没有TCP 或 UDP 数据包,仅有Ethernet数据包
  • STP操纵攻击
  • 广播风暴攻击

15.中间人攻击

  • 攻击终端设备的ARP缓存表
  • 通过 专家系统 ,分析出为ARP协议漏洞,双向欺骗
  • 《分别告诉A和B,我是B和A》
  • arp -s ip地址 mac地址
  • 防御:
    • 静态绑定ARP
    • 使用DHCP
    • 划分VLAN
    • ARP防火墙

16.针对IP协议的攻击(泪滴攻击)

  • IP数据包在被攻击者上进行拼接组装时,有重复内容,导致系统崩溃
  • 此处分析 IP数据包的大小及分割格式就可以
  • ip数据包通过identification标识来确定是否为同一数据,通过flags标志后的片位移来判断该数据包相对于首数据包的偏移量

17.分析SYN、UDP flooding攻击、拒绝服务攻击等

  • 通过流量图进行分析
  • 通过 统计==> i/o图表 分析

18.网络取证中的应用

  • 导出数据:
    • 显示为:原始数据
    • 然后选中要导出的数据 –> 右键 –> 保存为文件 xxx.bin
    • 注意:OD OA 是换行
    • 使用winhex编辑 xxx.bin
    • 删除请求头数据以及odoa换行,保存为 xx.png等文件
    • 可在补充中找到base64解码后转文件的在线链接
  • Word中的图片,如果想原版保存
    • 用压缩软件打开Word文件
    • 找到需要的图片
    • 解压缩,对图片进行其他操作
    • 切记:不可以直接用Word打开然后复制出来,MD5会变

19.在wireshark中添加新协议

19.1 编程基础:
  • wireshark编程、lua脚本语言
19.2 wireshark怎样判断数据包使用的协议?
  • 视图 –> 内部 –> 解析器表(通过端口号进行)
19.3 添加新协议的步骤(应用层)
  • 添加新协议
  • 添加解析器
  • 注册(在wireshark中使协议对应端口号)

20.构造数据包的方法

  • xcap软件(精确到位)

21.分析USB数据

补充

IP协议的分析

  • 版本:4位

  • 首部长度:4位

  • 服务类型:8位(1字节)

  • 总长度(计数):16位 (2字节)

  • identification标识:2字节(2字节)

  • flags标志:3位

  • 片位移:13位

  • 生存时间:8位 (1字节)

  • 协议类型:8位 (1字节)

  • 首部校验和:16位(2字节).

  • 源地址:32位(4字节)

  • 目的地址:32位 (4字节)

  • 可选字段:可选,不固定,非必须

    数据段:1480字节


文章作者: kylin
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 kylin !
  目录