• <span id="ysrmn"></span>
  • <legend id="ysrmn"></legend>

    <span id="ysrmn"></span>

    <button id="ysrmn"><object id="ysrmn"></object></button>

    <rp id="ysrmn"></rp>

    成都一飛科技有限公司為您主要提供弱電專業分包,成都酒店弱電施工,成都學校弱電工程等相關的展示和信息更新,歡迎您的收藏。

    18981976183

    頁面位置頁面位置:首頁 > 行業動態 > 幾種常見網絡抓包方式介紹
    產品中心

    News

    新聞中心

    產品中心

    Product

    產品中心

    聯系方式/Contact information

    • 聯系人聯系人:周先生
    • 聯系電話聯系電話:18981976183
    • 聯系地址聯系地址:四川省成都市時代數碼廣場A座21樓A3-5號
    在線咨詢

    幾種常見網絡抓包方式介紹

    來源:http://www.808992.com/news954711.html時間:2023-07-11 15:05:00

    無論作為網絡運維人員,還是安全滲透工程師,在工作中都會無可避免地碰到網絡抓包的需求。

    對網絡運維人員,網絡抓包可以:

    定位網絡里的異常設備;

    排查網絡性能瓶頸;

    了解真實的網絡互聯狀態。

    對安全滲透工程師,網絡抓包可以:

    有助于逆向分析聯網型App;

    從真實流量中發現可利用的漏洞;

    定位可能的網絡后門和木馬。

    以上這些目標,往往無法僅靠在本機上抓包完成,必須在網絡層有更方便的抓包解決方案。在古早還使用集線器(Hub)時,由于Hub設備不夠“智能”,它會把所有的流量轉發給所有的端口(除了發出端口之外),所以只要把監聽機

    器的網卡設置為混雜模式(promiscuous mode),即可收到接在同一個Hub上其他機器的流量。但這種方式隨著Hub退出市場,也慢慢不再適用了。

    以下介紹幾種在實驗室環境和中小型網絡里的網絡抓包方式。它們不是企業級專業級的解決方案,而更適用于個人網絡逆向分析和問題定位。

    一、網絡分流器(TAP)

    網絡分流器大多都是無源型(passive)設備,所以不需要裝任何軟件,不需要有什么額外知識,就能抓到流經網線的流量。一款非常小巧便攜的適合個人使用的網絡分析器如圖:


    上圖東西的全名叫“Throwing Star LAN TAP”,用上述關鍵字在淘寶可以找到,盛惠50大元。通過和參照物的對比,可以看出它非常小巧,而且無需電源供電,只是在接入網絡時會引起短暫的網絡中斷,基本對網絡沒有影響。

    它共有4個RJ45口,形成一個飛鏢狀(飛鏢的英文就是“Throwing Star”)的十字結構。使用時把J1-J2串入需要做抓包的網絡中,J3和J4連接抓包機器。也就說J3和J4兩個口,是分別捕獲流入和流出兩個方向的流量,再分別復制給監聽系統的兩個網絡端口的。所以要想同時捕獲監控鏈路里的所有流量,監控工作臺電腦必須有兩塊用于嗅探的網卡。這個也并不難實現,除了默認的有線網卡之外,只要再接一個USB接口的有線網卡即可。以下為TAP接入網絡的場景:



    TAP可以直接串在要抓包的設備前面,也可以接到某臺交換設備前面。如果接在交換設備前,得到的流量可能很大,在設置抓包參數時需要做適當的過濾。如上圖示意圖,我們使用的抓包機器為 Linux系統,上有兩塊有線網卡,分別連接J3和J4接口。要注意的是,抓包機器這樣接入TAP后,自身是無法上網的!

    在抓包機器上,執行 tshark-D 命令,獲得系統里當前可以抓包的所有接口列表。需要對哪個接口抓包,可以用 -i 參數指定。如下圖的網卡列表中,排名第一的 "1.enp0s25" 即為系統自帶有線網卡,排名第二的 “2. enx00e04c680039” 是USB接口的有線網卡。如果需要同時對兩塊網卡做抓包,只需要在 tshark -i 參數后,加入網卡編號即可。所以最后執行的命令為: tshark-i1-i2-w cap2.pcap,就可以把流經TAP的全部流量,保存到 cap2.pcap 文件里。

    以上步驟雖然是以Linux操作系統的抓包機器來做示例,但完全可以移植到其他平臺,如Windows平臺甚至可以直接在圖形界面的Wireshark里選定要抓包的網絡接口,操作上更直觀可用。從獲得的cap2.pcap抓包文件里再做細致的數據包分析和檢索。

    如下圖中查看的端點列表。

    以及下圖中的往來HTTP流量。如果抓包機器上只有一個網卡,只能連到J3/J4接口之一,則下面這個截圖里的HTTP流量,在同一時間內只能獲得請求或者響應單個方向的流量。

    二、有網管功能的小交換機

    上面介紹的無源 TAP固然非常便攜,但如果不樂意在自己機器上多準備一個網絡接口,就無法同時抓到雙向的流量。如何解決這個問題呢?最簡單的方式,是使用具備網管功能的交換機?,F在具備網管功能的交換機并不昂貴,有大量適用于辦公網絡的小交換機可供選購。在選購的過程中,請注意它的功能列表是否標有“支持端口鏡像”,如果有,就可以滿足抓包的需求。如我們測試使用的這款tp-link TL-SG2005小交換機:


    這類設備使用方式取決于不同的品牌和型號,請閱讀相關說明說。在我們這款設備中,只需要把監控機器接到某個網絡接口(下圖中抓包機器接在端口5上),并訪問內置Web控制臺,從Web控制臺上,指定對哪個或哪幾個端口進行流量鏡像即可(下圖中需要被抓包的機器在端口4上)。 配置示例如下圖:

    如上圖設置完成后,即可在端口5所連的抓包機器上,非常方便地對接在端口4所接機器執行抓包監控。

    三、用兩塊網卡的Linux方案

    hmmm,上面的方法確實都很不錯啦,但好像都只支持有線連接的設備抓包?如果需要對無線設備的流量抓包怎么辦呢?這可以通過各種裝有2個網卡,搭建自己的無線 AP實現。預算低的可以選擇樹莓派這類ARM平臺硬件系統,預算充裕的可以選擇帶無線網卡的各種迷你電腦。自行在這些機器安裝合適的Linux發行版,并把這些設備配置成“有線-無線網卡”的網橋/無線接入點,然后直接在這臺機器的網橋接口上進行抓包。這種方式可以指定源端機器的詳細信息做過濾,如IP地址或MAC地方,抓包過濾可以更定制化更精確。以下我們以裝了基于Debian系統的樹莓派舉例說明大體步驟。

    樹莓派已自帶一塊有線網卡和一塊無線網卡接口,在系統中分別名為eth0和wlan0。以下用樹莓派3在官方Raspbian平臺的情況舉例。

    首先安裝 (1)網橋管理程序 bridge-utils、(2)軟AP接入點管理程序hostapd、(3)命令行抓包工具tshark 和 (4)隨機數產生工具rng-tools:

    sudo apt-get install -y bridge-utils hostapd tshark rng-tools

    要啟用網橋功能,需要在內核里把 net.ipv4.ip_forward 置為1。修改 /etc/sysctl.conf ,加入以下這行:

    net.ipv4.ip_forward=1

    創建一個網橋br0,編輯 /etc/network/interfaces,把eth0 網卡加入網橋br0,把網橋br0的IP,設置為原來eth0的IP。

    也就是【address 192.168.99.13】這一行,應為 eth0 網卡的原IP地址,其他信息如網關和dns等請根據實際情況修改。

    auto lo

    iface lo inet loopback


    auto eth0

    iface eth0 inet manual


    allow-hotplug wlan0

    iface wlan0 inet manual


    #創建一個網橋br0,把eth0加入這個網橋

    #給網橋指定一個靜態IP,這里用192.168.99.13,是因為樹莓派所接網段為192.168.99.0/24,需要根據實際情況修改

    #網橋的靜態IP建議和原來的eth0靜態ip保持一致,雖然不是強制項

    auto br0

    iface br0 inet static

            bridge_ports eth0

            address 192.168.99.13

            netmask 255.255.255.0

            network 192.168.99.0

            broadcast 192.168.99.255

            gateway   192.168.99.1

            dns-nameservers 8.8.8.8


    #如果網橋需要用dhcp方式獲得IP

    #iface br0 inet dhcp

    把無線網卡wlan0配置為AP熱點,熱點的ssid名為【wifi_ssid】,密碼為【12345678】,編輯文件 /etc/hostapd/hostapd.conf :

    # 把wlan0網卡配置為ap熱點

    interface=wlan0

    driver=nl80211

    hw_mode=g

    channel=6

    ieee80211n=1

    wmm_enabled=1

    ht_capab=[HT40][SHORT-GI-20][DSSS_CCK-40]

    macaddr_acl=0

    auth_algs=1

    ignore_broadcast_ssid=0

    wpa=2

    wpa_key_mgmt=WPA-PSK

    rsn_pairwise=CCMP

    # 接入點名稱,可按實際需求修改

    ssid=wifi_ssid

    # 接入點驗證密碼,可按實際需求修改

    wpa_passphrase=12345678

    # 把接入點加入網橋br0

    bridge=br0

    要持久化以上熱點配置,編輯hostapd服務文件,執行命令 sudo vi/etc/systemd/system/hostapd.service,把 /etc/systemd/system/hostapd.service 文件的內容設置為:

    [Unit] Description=Hostapd Service [Service] Type=forking ExecStart=/usr/sbin/hostapd -B /etc/hostapd/hostapd.conf [Install] #WantedBy=multi-user.target WantedBy=graphical.target Alias=hostapd.service

    其中【WantedBy=】一行取決于當前系統的默認啟動級別,可以先執行命令 systemctlget-default 確認默認啟動級別。根據實際情況,選擇其中一種。

    再把hostapd服務指定為自啟動模式:

    sudo update-rc.d hostapd defaults
    sudo update-rc.d hostapd enable
    service hostapd status
    

    完成后重啟機器, sudo reboot now 。

    重啟重新登錄系統后,執行以下命令查看網橋br0的狀態:

    $ brctl show br0
    bridge name     bridge id               STP enabled     interfaces
    br0             8000.b827eb99a031       no              eth0
                                                            wlan0
    
    $ifconfig br0
    br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
            inet 192.168.99.90  netmask 255.255.255.0  broadcast 192.168.99.255
            inet6 fe80::ba27:ebff:fe99:a031  prefixlen 64  scopeid 0x20<link>
    

    執行以下命令,驗證和查看wlan0網卡上的熱點狀態,在返回的內容里,看到【ssid wifi_ssid】,即為熱點正常啟動。

    $sudo iw wlan0 info
    Interface wlan0
            ifindex 3
            wdev 0x1
            addr b8:27:eb:cc:f5:64
            ssid wifi_ssid
            type AP
            wiphy 0
            channel 6 (2437 MHz), width: 20 MHz, center1: 2437 MHz
            txpower 31.00 dBm
    

    重啟和驗證過網橋和熱點信息后,掃描所在無線網絡,果然看到名為“wifi_ssid”的接入點。從手機的WIFI設置上,選擇加入該無線網絡:


    此時只要登錄樹莓派,執行以下命令行,在 host參數里指定手機的IP地址,即可對該IP的所有流量進行精確抓包:

    tshark -i br0 -w traffic_from_mobile.pcap 'host 192.168.99.114'
    

    最后得到的 traffic_from_mobile.pcap 文件里就獲得這臺手機的完整流量了。

    四、總結

    從以上介紹可以看出,網絡層抓包有各種可選方式,建議根據自己的需求和具體網絡架構,選擇適用的模式。另外也可以進行多種模式的疊加和串接,實現更靈活的抓包模式。

    同時我們也要提醒一下:網絡抓包有風險!不要貿然實施未獲授權的抓包,可能會違法違規,以上方式只建議在實驗和學習環境中使用。

    最后,我們也再完整地總結一下上述三種方式的對比:

    分流器(TAP)小交換機迷你電腦
    成本最低大約50元最低大約200元最低大約220元
    復雜程度簡單簡單稍微復雜
    適用位置靈活有線無線\
    缺陷抓包機器需要兩個網絡接口有源,需要額外配置需要一定的動手能力

    (朱筱丹 | 天存信息)

    Ref

    1. J. Bullock, J T. Parker - Wireshark for security professionals
    2. Using a Raspberry Pi 3 as a WiFi Access Point and Bridge
    3. NetworkConfiguration
    4. RPI-Wireless-Hotspot






    相關來源:Web安全,網絡抓包,

    相關產品推薦

    日本公与熄厨房乱理在线播放,中文字幕无线码一区二区女女,JULIA无码中文字幕一区,曰韩无码二三区中文字幕

  • <span id="ysrmn"></span>
  • <legend id="ysrmn"></legend>

    <span id="ysrmn"></span>

    <button id="ysrmn"><object id="ysrmn"></object></button>

    <rp id="ysrmn"></rp>