WireShark简单使用

Wireshark基础

1.wireshark 的使用场景

1.1 远程捕获：

• 拥有服务器权限时：
  • 在目标服务器使用wincap，将数据发送到一个地址
  • 使用wireshark创建一个新的网卡进行监听（捕获 –> 选项 –> 管理接口 ）
  • 使用wireshark分析流量
• 拥有交换机权限时：
  • 使用端口镜像功能（在交换机上进行配置）
  • 配置
• 没有权限时：ARP 欺骗
  • arpspoof
  • cain
  • ettcap
• 网络分路器：硬件

1.2 本地捕获：

• Rawcap：抓取本地还回地址（127.0.0.1）

1.3 虚拟机流量捕获：

• 直接选择相应的网卡

2.显示过滤器

2.1 打开方式

• 过滤器工具栏（主页面工具栏下方（比较常用））
• 分析 ==> Display Filter (显示过滤器)
• 分析 ==> Display Filter Expression(显示过滤器表达式)
• 点击相关数据包后，选择某一字节作为过滤器（数据包细节面板）

2.2 语法（伯克利包过滤规则）

• 官方手册：https://www.wireshark.org/docs/wsug_html_chunked/
• 过滤器表达式由一个或多个原语组成。原语通常由一个id(名称或数字)和一个或多个限定符组成
  • type：限制id名称，例如：host、net、port、portrange
  • dir：表示方向，例如：src、dst、src and dst、 ra、ta、addr1、addr2
  • proto：限制协议，例如：ether、fddi、 tr、 wlan、 ip、 ip6、 arp、 rarp、 decnet、 tcp and udp.
• 顺序：[proto] [dir] [type]
• 
• 特殊的过滤方法：ip[12:4]
• 常用规则：
  • https://www.tcpdump.org/manpages/pcap-filter.7.html
  • https://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html
  • dst/src host <host>、host <host>、ether dst/src <ehost>、gateway host <host> 、dst/src net <net(子网)>、
  • dst/src port <port>、port <port>、dst/src portrange <port1-port2>
  • less <length>、greater <length>
  • ip proto <protocol>、ip6 proto <protocal>、tcp、udp、icmp
  • 注意：只能是小写

3.时间显示功能

• 

4.自定义显示列

5.地址解析

• 

6.内部协议及识别协议的方法

• 

7.显示过滤器

• 

8.统计及绘图

• 

9.防火墙规则和 lua语言

• 

10.专家信息

• 

11.TCP追踪流

• 

12.协议分级–conversation–流量图等

• 

• 流量图需要配置：

  • 首选项 ==> protocol
  • 通过对协议的显示进行配置，打开或关闭某些功能，具体使用看环境

13.首选项

• 

14. 针对交换机的攻击

• MAC地址欺骗
• MAC地址泛洪攻击
  • CAM表满了以后，退化为集线器，进行广播
  • 分析抓包文件后发现几乎没有TCP 或 UDP 数据包，仅有Ethernet数据包
• STP操纵攻击
• 广播风暴攻击

15.中间人攻击

• 攻击终端设备的ARP缓存表
• 通过 专家系统 ，分析出为ARP协议漏洞，双向欺骗
• 《分别告诉A和B，我是B和A》
• arp -s ip地址 mac地址
• 防御：
  • 静态绑定ARP
  • 使用DHCP
  • 划分VLAN
  • ARP防火墙

16.针对IP协议的攻击（泪滴攻击）

• IP数据包在被攻击者上进行拼接组装时，有重复内容，导致系统崩溃
• 此处分析 IP数据包的大小及分割格式就可以
• ip数据包通过identification标识来确定是否为同一数据，通过flags标志后的片位移来判断该数据包相对于首数据包的偏移量

17.分析SYN、UDP flooding攻击、拒绝服务攻击等

• 通过流量图进行分析
• 通过 统计==> i/o图表 分析

18.网络取证中的应用

• 导出数据：
  • 显示为：原始数据
  • 然后选中要导出的数据 –> 右键 –> 保存为文件 xxx.bin
  • 注意：OD OA 是换行
  • 使用winhex编辑 xxx.bin
  • 删除请求头数据以及odoa换行，保存为 xx.png等文件
  • 可在补充中找到base64解码后转文件的在线链接
• Word中的图片，如果想原版保存
  • 用压缩软件打开Word文件
  • 找到需要的图片
  • 解压缩，对图片进行其他操作
  • 切记：不可以直接用Word打开然后复制出来，MD5会变

19.在wireshark中添加新协议

19.1 编程基础：

• wireshark编程、lua脚本语言

19.2 wireshark怎样判断数据包使用的协议？

• 视图 –> 内部 –> 解析器表（通过端口号进行）
• 

19.3 添加新协议的步骤（应用层）

• 添加新协议
• 添加解析器
• 注册（在wireshark中使协议对应端口号）

20.构造数据包的方法

• xcap软件（精确到位）

21.分析USB数据

• usb是三段式地址： 总线.设备.端口
• https://github.com/AngelKitty/UsbMiceDataHacker
• https://www.cnblogs.com/ECJTUACM-873284962/p/9473808.html

22.Tshark用法

补充

• maxmind（ip==>地理位置）
  • https://dev.maxmind.com/geoip/
• 取证CTF：
  • http://forensicscontest.com/
• base64解密后转文件：
  • https://www.motobit.com/util/base64-decoder-encoder.asp

IP协议的分析

• 版本：4位

• 首部长度：4位

• 服务类型：8位（1字节）

• 总长度（计数）：16位 （2字节）

• identification标识：2字节（2字节）

• flags标志：3位

• 片位移：13位

• 生存时间：8位 （1字节）

• 协议类型：8位 （1字节）

• 首部校验和：16位（2字节）.

• 源地址：32位（4字节）

• 目的地址：32位 （4字节）

• 可选字段：可选，不固定，非必须

  数据段：1480字节