網(wǎng)絡(luò)空間安全概論 實驗6 網(wǎng)絡(luò)監(jiān)聽wireshark_第1頁
網(wǎng)絡(luò)空間安全概論 實驗6 網(wǎng)絡(luò)監(jiān)聽wireshark_第2頁
網(wǎng)絡(luò)空間安全概論 實驗6 網(wǎng)絡(luò)監(jiān)聽wireshark_第3頁
網(wǎng)絡(luò)空間安全概論 實驗6 網(wǎng)絡(luò)監(jiān)聽wireshark_第4頁
網(wǎng)絡(luò)空間安全概論 實驗6 網(wǎng)絡(luò)監(jiān)聽wireshark_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

網(wǎng)絡(luò)監(jiān)聽

wireshark介紹

Wireshark(前稱Ethereal)是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截

取網(wǎng)絡(luò)封包,并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為

接口,直接與網(wǎng)卡進行數(shù)據(jù)報文交換。

在過去,網(wǎng)絡(luò)封包分析軟件是非常昂貴的,或是專門屬于盈利用的軟件。Ethereal的出

現(xiàn)改變了這一切。在GNUGPL通用許可證的保障范圍底下,使用者可以以免費的途徑取

得軟件與其源代碼,并擁有針對其源代碼修改及客制化的權(quán)利。Ethereal是全世界最廣

泛的網(wǎng)絡(luò)封包分析軟件之一。

網(wǎng)絡(luò)管理員使用Wireshark來檢測網(wǎng)絡(luò)問題,網(wǎng)絡(luò)安全工程師使用Wireshark來檢查資

訊安全相關(guān)問題,開發(fā)者使用Wireshark來為新的通訊協(xié)定除錯,普通使用者使用

Wireshark來學習網(wǎng)絡(luò)協(xié)定的相關(guān)知識。當然,有的人也會“居心叵測”的用它來尋找一

些敏感信息……

Wireshark不是入侵偵測系統(tǒng)(IntrusionDetectionSystem,IDS)o對于網(wǎng)絡(luò)上的異常

流量行為,Kireshark不會產(chǎn)生警示或是任何提示。然而,仔細分析Wireshark截取的

封包能夠幫助使用者對于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會對網(wǎng)絡(luò)封包產(chǎn)生內(nèi)

容的修改,它只會反映出流通的封包資訊。Wireshark本身也不會送出封包至網(wǎng)絡(luò)上。

wireshark工作流程

(1)確定Wireshcirk的位置。如果沒有一個正確的位置,啟動Wireshark后會花費很

長的時間捕獲一些與自己無關(guān)的數(shù)據(jù)。

(2)選擇捕獲接口。一般都是選擇連接到Inteoet網(wǎng)絡(luò)的接口,這樣才可以捕獲到與

網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則,捕獲到的其它數(shù)據(jù)對自己也沒有任何幫助。

(3)使用捕獲過濾器。通過設(shè)置捕獲過濾器,可以避免產(chǎn)生過大的捕獲文件。這樣用

戶在分析數(shù)據(jù)時,也不會受其它數(shù)據(jù)干擾。而且,還可以為用戶節(jié)約大量的時間。

(4)使用顯示過濾器。通常使用捕獲過濾器過濾后的數(shù)據(jù),往往還是很復雜。為了使

過濾的數(shù)據(jù)包再更細致,此時使用顯示過濾器進行過濾。

(5)使用著色規(guī)則。通常使用顯示過濾器過濾后的數(shù)據(jù),都是有用的數(shù)據(jù)包。如果想

更加突出的顯示某個會話,可以使用著色規(guī)則高先顯示。

(6)構(gòu)建圖表。如果用戶想要更明顯的看出一個網(wǎng)絡(luò)中數(shù)據(jù)的變化情況,使用圖表的

形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。

(7)重組數(shù)據(jù)。Wireshark的重組功能,可以重組一個會話中不同數(shù)據(jù)包的信息,或者

是一個重組一個完整的圖片或文件。由于傳輸?shù)奈募^大,所以信息分布在多個數(shù)

據(jù)包中。為了能夠查看到整個圖片或文件,這時候就需要使用重組數(shù)據(jù)的方法來實現(xiàn)。

wireshark下載安裝

從官網(wǎng)https://w^v.wireshark,org/下載安裝包,在windows環(huán)境下進行安裝。

?安裝成功后啟動界面如下

“Wireshark網(wǎng)用分析:K

文件(F)編輯(E)視圖(V)跳轉(zhuǎn)(G)捕次(C)分析(A)統(tǒng)計(S)電話(Y)無線(W)工具(T)幫助(H)

4■《@XCQ-T主曾曼二三ad氫三

■|應(yīng)用顯示過海器…<Ctrl-/>

WelcometoIireshark

捕獲

…使用這個過濾器:[HI輸入酒獲過危器…3

VMwareNetworkAdapterVMnet8州

以太網(wǎng)24

Adapterforloopbacktrafficcapture「

本地連接?10

本地連接.9

本地連接*8

藍牙網(wǎng)絡(luò)連接

VMwareNetworkAdapterVMnetl

本地連接.2

本地連接?1

WLAN

wireshark捕獲報文

使用wireshark監(jiān)聽本地網(wǎng)卡,捕獲數(shù)據(jù)包。

4正a岬ru㈤2

文件⑥編煙㈤視圖M跳轉(zhuǎn)(fi)分析(A)統(tǒng)計(S)電話00無線他)丁具①留助(H)

“■,⑥「義ey鱉下里二建qea史

Ini應(yīng)用昱示過原#…c【rl-,C3,)+

Xo.T1BOSourceDestinationProtocolLongthInfo

284414093563ASUSTekC_ce:4e:37BroadcastARP60Whohas56?Tell10.

284514.0955298UDP7264309-?8995Len=30

284614.105542ASUSTekC_6b:54:23BroadcastARP60Whohas60?lell10.H

285014.124482Micro-St_ef:99:d7BroadcastARP60Whohas62?Tell10.

285114.129078440TCP55[TCPKeep-Alive]14088->443[A

285214.148400044TCP66[TCPKeep-AliveACK]443Tl40

285414.153318ASUSTekC_6b:54:23BroadcastARP60Whohas61?Tell10.H

d二

1.通信建立成功報文

4Wireshark?分組49以太網(wǎng)2

e______________________________________________________

▼Frame49:66bytesonwire(528bits),66bytescaptured(528bits)oninterface\Device\NPF

Sectionnumber:1

Interfaceid:0(\Device\NPFL{D1D4E4B6-9A92-46A7-88E1-5E3347E4AD1B})

Encapsulationtype:Ethernet(1)

ArrivalTime:Nov8,202212:09:34.585853000中國標準時間

[Timeshiftforthispacket:0.000000000seconds]

EpochTime:1667880574.585853000seconds

[Timedeltafrompreviouscapturedframe:0.008569000seconds]

[Timedeltafrompreviousdisplayedframe:0.018227000seconds]

[Timesincereferenceorfirstframe:0.294622000seconds]

FrameNumber:49

0000988feO64aO0200005e00010b08004500???d??E

0010003449c94000310629cO8bc48e1e0a644l-@1)d

0020b1f401bb36bbead863949383336e80106-c3n

00300256c57400000101050a9383336d9383Vt-3m

0040336e3n

1000....=HeaderLength:32bytes(8)

>Flags:0x010(ACK)

Window:598

[Calculatedwindowsize:598]

[Windowsizescalingfactor:-1(unknown)]

Checksum:0xc574[unverified]

[ChecksumStatus:Unverified]

UrgentPointer:0

>Options:(12bytes),No-Operation(NOP),No-Operation(NOP),SACK

>[Timestamps]

>[SEQ/ACKanalysis]

可以看到數(shù)據(jù)收發(fā)實際上是應(yīng)用層協(xié)議數(shù)據(jù),例如圖中是modbus協(xié)議的數(shù)據(jù)報文,如

何區(qū)分報文是數(shù)據(jù)報文還是網(wǎng)絡(luò)報文,可以通過len長度或者下方的協(xié)議層查看

?主動關(guān)閉,發(fā)送FINoScq=328

服務(wù)端狀態(tài)為FINwaitl處于半關(guān)閉狀態(tài)

客戶端狀態(tài)為closed_wait處于半關(guān)閉狀態(tài)

客戶端發(fā)送確認ackack=328+l

服務(wù)端狀態(tài)為FTN_wait2

客戶端發(fā)送FINseq=133

客戶端狀態(tài)為LAST_ack

服務(wù)端狀態(tài)為time_wait

服務(wù)端發(fā)送ackack=133+1

客戶端狀態(tài)closed

服務(wù)端狀態(tài)closed,至此本次通信結(jié)束

wireshark過濾規(guī)則

一、針對wireshark最常用的自然是針對IP地址的過濾。其中有幾種情況:

(1)對源地址為192.168.0.1的包的過濾,即抓取源地址滿足要求的包。

表達式為:ip.src=192.168.0.1

(2)對目的地址為192.168.0.1的包的過濾,即抓取目的地址滿足要求的包。

表達式為:ip.dst=192.168.0.1

(3)對源或者目的地址為192.168.0.1的包的過濾,即抓取滿足源或者目的地址的ip

地址是192.168.0.1的包。

表達式為:ip.addr==192.168.0.1,或者ip.src==192.168.0.1orip.dst==

192.168.0.1

(4)要排除以上的數(shù)據(jù)包,我們只需要將其用括號囊括,然后使用〃!〃即可。

表達式為:?。ū磉_式)

二、針對協(xié)議的過濾

(1)僅僅需要捕獲某種協(xié)議的數(shù)據(jù)包,表達式很簡單僅僅需要把協(xié)議的名字輸入即可。

表達式為:http

(2)需要捕獲多種協(xié)議狗數(shù)據(jù)包,也只需對協(xié)議進行邏輯組合即可°

表達式為:httportelnet(多種協(xié)議加上邏輯符號的組合即可)

(3)排除某種協(xié)議的數(shù)據(jù)包

表達式為:notarp!tcp

三、針對端口的過濾(視協(xié)議而定)

(1)捕獲某一端口的數(shù)據(jù)包

表達式為:tcp.port==80

(2)捕獲多端口的數(shù)據(jù)包,可以使用and來連接,下面是捕獲高端口的表達式

表達式為:udp.port>=2048

四、針對長度和內(nèi)容的過濾

(1)針對長度的過慮(這里的長度指定的是數(shù)據(jù)段的長度)

表達式為:udp.length<30http,contentlength<=20

(2)針對數(shù)據(jù)包內(nèi)容的過濾

表達式為:http,request,urimatches"vipscu”(匹配http請求中含有vipscu字段

的請求信息)

wireshark捕獲瀏覽網(wǎng)頁

wireshark無法在未配置對應(yīng)服務(wù)器的ssl相關(guān)證書的情況下解析捕獲到的https

內(nèi)容,因此才用其捕獲http協(xié)議的網(wǎng)絡(luò)內(nèi)容。

|Mtpsczi■"

6Tia?Source(nationProtocolL0ncthIftfo

:2711.91934644120.7921.86HTTP627GET/detail/29-xonethbjgcmyqjv.htmlHTTW1.1

2901981763610,100.177.244HTTP211HUP/1.1200OK(text/html)

6353.67339610.100177.24417HTTP280GET/20221108124522/72999f55e79152a7ffd9a6daf4eccaf4/jdyr

6653.71494510.10017724492HTTP211GET/p$dk_param?ver$ion?wymu$icwi,HTTW1.1

735373818444119.167.149221HTTMSON640POST/p$dk/getseedsHTTP/1.1.JavaScriptObjectNotation(appl

7673.7511589210,100177.244HTTP1251HTTP/1.1200OK(text/plain)

9443773706119.167.14922110,100.177.244HTTP1115HUP/1.1200OK(text/plain)

98337751081533710711710.100177.244HTTP930HTTP/1.1206PartialContent(audlo/mp?g)

995377559210.10017724415337.107.117HTTP285GET/20221108124522"2999f55e79152a7ffd9a6daf4eccaf4/Jdyr

132238192171710,100177.244HTTP402HTTP/1.1206PartialContent(audio/mpeg)

1330381942310.100177.24417HTTP285GET/20221108124522/72999f55e79152a7ffd9a6daf4eccaf4/jdyr

1637387792115337.107.11744HTTP702HTTP/1.1206PartialContent(audlo/mpeg)

1648387809310.100177.244153.37.107,117HTTP286GET/20221108124522/72999f55e79152a7ffd9a6daf4eccaf4/Jdyr

191739199571710.100177.244HTTP1022HTTP/1.1206PartialContent(audio/mpeg)

1920392015310.10017724415337.107.117HTTP287GET/20221108124522/72999f55e79152a7ffd9a6daf4eccaf4/idyr

分析http報文

66b3./14V451U.1UU.1//.Z4472HIIE211Uti/psdk_paramfvers?on=vvymusicw_3.U.l/.IMlIk

Frame271:627bytesonwire(5016bits),627bytescaptured(501000000005e00010b988feO64aO0208004500*dE

EthernetII,Src:HuaqinTe_04:a0:02(9fc:8f:e0:64:a0:02),Dst:IETF-V00100265f4c44000800600000a64b1f4784fe@dxO

InternetProtocolVersion4,Src:44,Dst:120,79.21.860020155619c80050b262077116f5a9975018VPbqP

TransmissionControlProtocol,SrcPon:6600,DstPort:80,Seq:1,.003002014c550000474554202f6465746169LUGET/detai

00.06c2f32392d786f6e657468626a67636dl/29-xonethbjgcm

SourcePort:6600

)05079716a762e68746d6c20485454502f31yqjv.HmIHTTP/1

DestinationPort:80

:):ifr:)2e31OdOa486f73743a207777772e6d61.1host:www.ma

[Streamindex:12]6e6f6e676a632e636f6dOd0a436f6e6enongjc.comConn

[Conversationcompleteness:Incomplete(28)]0080656374696f6e3a206b6565702d616c69ection:keeo-ali

(TCPSegmentLen:573]00907665OdOa43616368652d436f6e747261

SequenceNumber1(relativesecuencenumber)OOaO6c3a206d61782d6167653d30Od0a5570

SequenceNumber(raw):299276868167726164652d496e7365637572652d52grade-lnsecure-R

[NextSequenceNumber574(relativesequencenumber)]0657175657374733a2031Od0a55736572equests:1User

AcknowledgmentNumber:1(relativeocknumber)::l-s)?d4167A5743a204dM7aA96c6e61?f-AgentMozilla/

Acknowledgmentnumber(raw):385198487352e30202857696e646f7773204e54205.0(WindowsNT

0531302e303b2057696e36343b2078363410.0:Win64:x64

0101....=HeaderLength:20bytes(5)

0X29204170706c655765624b69742f3533)AppieWebKit/53

Flags:0x018(PSH.ACK)

372e333620284b48544d4c2c206c696b7.36:KHTML,lik

Window:5132c65204765636b6f2920436B726f6d652feGecko)Chrome/

(Calculatedwindowsize:513]0'3C3130372e302e302e3020536166617269Safari

[Windowsizescalingfactor:-1(unknown)]IJ2f3533372e3336204564672f3130372e/537.36Edg/107.

Checksum:0x4c55(unverified]0150302e313431382e3335Od0a41636365700.1418.35Accep

(ChecksumStatus:Unverified)743a20746578742f68746d6c2c617070t:texVhtmlapp

UrgentPointer:06c69636174696f6e2f7868746d6c2b78lication/xhtml?x

(Timestamps]6d6c2c6170706c69636174696f6e2f78ml.application/x

[SEQ/ACKanalysis]'01906d6c3b713d302e392c696d6167652f77ml:q=0.9.image/w

!0-306562702c696d6167652f61706e672c2aebp.inage/apngJ

TCPpayload(573bytes)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論