Wireshark数据包分析实战(笔记)

lyhpy

贡献于2014-12-29

字数:0 关键词: 网络技术

Wireshark 数据包分析实战(笔记) 一、数据包分析基础.........................................................................................................................5 1、数据包分析...........................................................................................................................5 2、目标.......................................................................................................................................5 3、软件.......................................................................................................................................5 4、协议.......................................................................................................................................5 5、数据封装...............................................................................................................................5 6、网络硬件...............................................................................................................................6 7、流量分类...............................................................................................................................6 (1)广播流量...................................................................................................................6 (2)多播流量...................................................................................................................6 (3)单播流量...................................................................................................................6 二、监听网络线路.............................................................................................................................6 1、关键决策...............................................................................................................................6 2、混杂模式...............................................................................................................................7 3、集线器嗅探方式...................................................................................................................7 4、交换机嗅探方式...................................................................................................................7 (1)端口镜像...................................................................................................................7 (2)集线器输出.......................................................................................................................8 (3)网络分流器...............................................................................................................8 (4)ARP 欺骗..................................................................................................................9 5、路由器嗅探方式.................................................................................................................13 三、Wireshark 基础用法................................................................................................................. 14 1、查找:Ctrl+F...................................................................................................................... 14 2、标记:Ctrl+M 或 右键菜单.............................................................................................14 3、时间显示格式.....................................................................................................................15 4、相对时间:Ctrl+T..............................................................................................................15 5、捕获选项:Ctrl+K............................................................................................................. 16 6、名字解析.............................................................................................................................17 (1)类型.........................................................................................................................17 (2)弊端.........................................................................................................................17 7、协议解析.............................................................................................................................17 8、过滤器.................................................................................................................................18 (1)过滤器 BPF 语法....................................................................................................18 (2)显示过滤器.............................................................................................................19 (3)比较操作符.............................................................................................................19 (4)逻辑操作符.............................................................................................................19 (5)过滤器举例.............................................................................................................20 四、流量分析和图形化功能...........................................................................................................20 1、网络端点.............................................................................................................................20 2、网络会话.............................................................................................................................21 3、协议分层.............................................................................................................................22 4、数据包长度分析.................................................................................................................23 5、跟踪 TCP 流........................................................................................................................24 6、图形展示.............................................................................................................................25 (1)查看 IO 图...............................................................................................................25 (2)双向时间图.............................................................................................................26 (3)数据流图.................................................................................................................28 7、专家信息.............................................................................................................................29 (1)数据包标记.............................................................................................................29 (2)数据包分析.............................................................................................................30 五、通用底层网络协议...................................................................................................................32 1、地址解析协议 ARP(Address Resolution Protocol)..................................................... 32 (1)ARP 头....................................................................................................................32 (2)数据包分析.............................................................................................................32 (3)无偿的 ARP............................................................................................................34 2、IP 协议................................................................................................................................ 34 (1)IP 头........................................................................................................................ 34 (2)数据包分析.............................................................................................................35 (3)IP 分片.................................................................................................................... 36 3、传输控制协议 TCP(Transmission Control Protocol)...................................................39 (1)TCP 头.....................................................................................................................39 (2)TCP 端口................................................................................................................ 40 (3)TCP 标志................................................................................................................ 41 (4)TCP 三次握手........................................................................................................ 42 (5)TCP 的四次断开.................................................................................................... 44 (6)TCP 重置................................................................................................................ 46 4、用户数据报协议 UDP(User Datagram Protocol)........................................................ 47 (1)UDP 头....................................................................................................................48 (2)数据包分析.............................................................................................................48 5、互联网控制消息协议 ICMP(Internet Control Message Protocol)..............................48 (1)ICMP 头..................................................................................................................48 (2)ICMP 类型和代码..................................................................................................48 (3)Echo 请求与响应................................................................................................... 50 (4)路由跟踪.................................................................................................................50 六、常见高层网络协议...................................................................................................................53 1、动态主机配置协议 DHCP(Dynamic Host Configuration Protocol)...........................53 (1)DHCP 头................................................................................................................. 53 (2)数据包分析.............................................................................................................54 (3)租约内续约.............................................................................................................57 2、域名系统 DNS(Domain Name System)....................................................................... 58 (1)DNS 头....................................................................................................................58 (2)数据包分析.............................................................................................................59 (3)DNS 问题类型........................................................................................................59 (4)DNS 递归................................................................................................................60 (5)DNS 区域传送........................................................................................................61 3、超文本传输协议 HTTP(Hypertext Transfer Protocol)................................................ 63 (1)使用 HTTP 浏览.....................................................................................................63 (2)使用 HTTP 上传数据.............................................................................................64 七、 基础的现实世界场景.............................................................................................................66 1、捕获 Twitter 社交网络流量............................................................................................... 66 (1)登录过程.................................................................................................................66 (2)上传数据.................................................................................................................67 2、捕获 Facebook 社交网络流量...........................................................................................69 (1)登陆过程.................................................................................................................69 (2)发送私信.................................................................................................................69 (3)比较 Twitter 和 Facebook 的方法......................................................................... 70 3、捕获新闻网站 ESPN.com 流量(共 956 个数据包).....................................................71 (1)使用会话窗口.........................................................................................................71 (2)使用协议分层统计窗口.........................................................................................72 (3)查看 DNS 流量.......................................................................................................73 (4)查看 HTTP 请求.....................................................................................................74 (5)查看概况以了解所花时间.....................................................................................75 4、现实世界问题.....................................................................................................................75 (1)无法访问 Internet:配置问题...............................................................................75 (2)无法访问 Internet:意外重定向...........................................................................76 (3)无法访问 Internet:上游问题...............................................................................77 (4)打印机故障.............................................................................................................79 (5)分公司之困.............................................................................................................82 (6)生气的开发者.........................................................................................................84 八、让网络不再卡...........................................................................................................................87 1、TCP 的错误恢复特性........................................................................................................ 87 (1)TCP 重传................................................................................................................ 88 (2)TCP 重复确认和快速重传.................................................................................... 89 2、TCP 流量控制.....................................................................................................................92 (1)调整窗口大小.........................................................................................................93 (2)用零窗口通知停止数据流.....................................................................................93 (3)TCP 滑动窗口实战................................................................................................ 94 3、TCP 错误控制和流量控制总结........................................................................................ 96 (1)重传包.....................................................................................................................96 (2)重复 ACK 包.......................................................................................................... 96 (3)零窗口和保活包.....................................................................................................96 4、定位高延迟原因.................................................................................................................96 (1)正常通信.................................................................................................................96 (2)线路延迟.................................................................................................................97 (3)客户端延迟.............................................................................................................97 (4)服务器延迟.............................................................................................................97 (5)延迟定位框架.........................................................................................................98 5、网络基线.............................................................................................................................98 (1)站点基线.................................................................................................................98 (2)主机基线.................................................................................................................98 (3)程序基线.................................................................................................................99 (4)注意事项.................................................................................................................99 九、安全领域的数据包分析...........................................................................................................99 1、网络侦察.............................................................................................................................99 (1)SYN 扫描................................................................................................................99 (2)操作系统指纹术...................................................................................................100 2、漏洞利用...........................................................................................................................102 (1)极光行动...............................................................................................................102 (2)ARP 缓存攻击......................................................................................................105 (3)远程访问木马.......................................................................................................106 十、无线网络数据包分析.............................................................................................................106 1、物理因素...........................................................................................................................106 (1)一次嗅探一个信道...............................................................................................106 (2)无线信号干扰.......................................................................................................106 (3)检测和分析信号干扰...........................................................................................107 2、无线网卡模式...................................................................................................................107 3、在 Windows 上嗅探无线网络......................................................................................... 108 (1)配置 AirPcap.........................................................................................................108 (2)AirPcap 捕获流量.................................................................................................108 4、在 Linux 上嗅探无线网络...............................................................................................108 5、802.11 数据包结构...........................................................................................................109 6、增加无线专用列...............................................................................................................110 7、无线专用过滤器...............................................................................................................110 (1)筛选特定 BSSID 的流量.................................................................................... 110 (2)筛选特定的无线数据包类型...............................................................................110 (3)筛选特定频率.......................................................................................................111 8、无线网络安全................................................................................................................... 111 (1)成功的 WEP 认证................................................................................................ 112 (2)失败的 WEP 认证................................................................................................ 113 (3)成功的 WPA 认证................................................................................................ 114 (4)失败的 WPA 认证................................................................................................ 115 附录 A:其他数据包分析工具.....................................................................................................116 附录 B:数据包分析资源............................................................................................................. 117 2014 年 03 月 21 日 一、数据包分析基础 1、数据包分析 也叫数据包嗅探或协议分析:指捕获和解析网络上在线传输数据的过程,为了能更好地 了解网络上正在发生的事情。 2、目标 ·了解网络特征; ·查看通信主体; ·确认占用带宽者; ·识别网络高峰时段; ·识别攻击和恶意活动; ·查找不安全和滥用网络的应用。 3、软件 ·Tcpdump(命令行) ·OmniPeek(GUI) ·Wireshark(GUI) 4、协议 层次 协议 应用层 HTTP、SMTP、FTP、Telnet 表示层 ACSII、MPEG、JPEG、MIDI 会话层 NetBIOS、SAP、SDP、NWLink 传输层 TCP、UDP、SPX 网络层 IP、IPX 链路层 Ethernet、Token Ring、FDDI、AppleTalk 5、数据封装 协议栈中的每层协议都负责在传输数据上增加一个协议头部或尾部,其中包含了使协议 栈之间能够进行通信的额外信息。 数据封装过程将创建一个协议数据单元 PDU,其中包括正在发送的网络数据,以及所 有增加的头部和尾部协议信息。 数据包指的就是一个完整的 PDU。 6、网络硬件 集线器:工作在半双工模式,即可能同时发送和接收数据,会将数据包广播到所有集线 器端口,适合用于抓包。 交换机:工作在全双工模式,数据包发往目的计算机连接的端口。 路由器:负责在两个或多个网络间转发数据包。 7、流量分类 (1)广播流量 广播包被发送到一个网段上所有端口,二层广播地址是 FF:FF:FF:FF:FF:FF,三层广 播地址是主机地址为 255 的 IP 地址;路由器可以分割广播域。 (2)多播流量 多播是将单一来源数据包同时传输给多个目标的通信方式,避免了数据包的大量复制, 减少了网络带宽使用率。 实施方法是通过将数据包接收者加入多播组的方式,多播地址是 224.0.0.0 ~ 239.255.255.255。 (3)单播流量 一台计算机直接传输到另一台计算机。 二、监听网络线路 1、关键决策 在哪里放置数据包嗅探器? 2、混杂模式 需要一个支持混杂模式驱动的网卡,能够查看到所有流经网络线路数据包的驱动模式。 3、集线器嗅探方式 流经集线器的所有网络数据包都会被发送到每一个集线器连接的端口。 4、交换机嗅探方式 端口镜像、集线器输出(hubbing out)、使用网络分流器、ARP 欺骗攻击 4 种方法 (1)端口镜像 设置连接的交换机的端口镜像功能,将交换机其他一个或多个端口的经过的数据包复制 一份到嗅探器连接的端口上。 需要留意你所镜像端口的流量负载。 (2)集线器输出 在目标设备和交换机间插接一个集线器,嗅探器也接在集线器上。在交换机不支持端口 镜像时可使用此方法。 (3)网络分流器 有聚合的和非聚合的两种类型,都是安置在两个设备间来嗅探所有流经的网络通信,聚 合的是三个端口,非聚合的是四个端口。 (4)ARP 欺骗 通过发送包含虚假 MAC 地址的 ARP 消息,劫持其他计算机流量的过程;它是在交换 机式网络中进行的高级技术。 ·使用 Cain & Abel 软件进行 ARP 欺骗: 这时就可以用 Wireshark 来抓包进行数据包分析了。 5、路由器嗅探方式 在处理涉及多个网段与路由器的问题时,需要将嗅探器移动到不同的位置上,才获得一 个完整的网络拓朴。 三、Wireshark 基础用法 1、查找:Ctrl+F 搜索类型 例子 Display filter 表达式筛选 Not ip Ip.addr==192.168.0.1 Arp Hex Value 十六进制值筛选 00:ff Ff:ff 00:ab:b1:f0 String 字符串筛选 Workstation1 UserB Domain 2、标记:Ctrl+M 或 右键菜单 3、时间显示格式 4、相对时间:Ctrl+T 5、捕获选项:Ctrl+K 6、名字解析 (1)类型 ·MAC 地址解析(Resolve MAC addresses):MAC 转换成 IP ·网络层名字解析(Resolve network-layer names):IP 转换成 DNS 名称(网址) ·传输层名字解析(Resolve transport-layer names):将端口转换成协议 ·使用外部网络名称解析器(Use external network name resolver) (2)弊端 ·解析可能失败; ·打开捕获文件都要重新解析一遍; ·解析 DNS 名字会产生额外流量; ·解析过程占用系统资源。 7、协议解析 右键点击数据包,选择 Decode As,创建强制解码器,比如可以强制将 80 端口解析成 FTP 协议,点击 Clear 可清除强制解码器。 8、过滤器 (1)过滤器 BPF 语法 BPF 限定词 说明 例子 Type 名字或数字代表的意义 Host、net、port Dir 指明数据来源和目的 Src、dst Proto 限定使用的协议 Ether、ip、tcp、udp、http、ftp 逻辑运算符:与 && 或 || 非! 表达式 说明 Src 192.168.0.10 && port 80 捕获源地址是 192.168.0.10 和源端口或目标端口是 80 的流量 Host 172.16.16.149 捕获某个 IP 的计算机的流量 Host testserver2 捕获某个主机名的计算机的流量 Ether host 00-1a-a0-52-e2-a0 捕获某个 MAC 地址的计算机的流量 Src host 172.16.16.149 捕获来自某台计算机的流量 Dst host 172.16.16.149 捕获前往某台计算机的流量 Port 8080 捕获指定端口的流量 !port 8080 捕获除指定端口以外的所有流量 Dst port 80 捕获前往监听 HTTP 80 端口的流量 icmp 捕获指定协议的流量 !ip6 捕获排除 IPv6 的流量 Icmp[0]==3 捕获偏移量为 0 值为 3(目标不可达)的 ICMP 数据包流量 Icmp[0]==8 or icmp[0]==0 捕获代表 echo 请求(类型 8)或 echo 回复(类型 0)的 ICMP 数据包流量 Icmp[0:2]==0x0301 捕获以类型 3 代码 1 表示的目标不可达、主机不可达的 ICMP 数据包流量 Tcp[13]&1==1 捕获设置了 FIN 位的 TCP 数据包 Tcp[13]&2==2 捕获设置了 SYN 位的 TCP 数据包 Tcp[13]&4==4 捕获设置了 RST 位的 TCP 数据包 Tcp[13]&8==8 捕获设置了 PSH 位的 TCP 数据包 Tcp[13]&16==16 捕获设置了 ACK 位的 TCP 数据包 Tcp[13]&32==32 捕获设置了 URG 位的 TCP 数据包 Tcp[13]==18 捕获 TCPSYN-ACK 数据包 Ether host 00:00:00:00:00:00 捕获流入或流出你 MAC 地址的流量 !ether host 00:00:00:00:00:00 捕获流入或流出你 MAC 地址以外的流量 Broadcast 捕获广播流量 Udp 捕获 UDP 流量 (2)显示过滤器 可以通过设置自带的过滤表达式来过滤显示数据。 (3)比较操作符 操作符 说明 == 等于 != 不等于 > 大于 < 小于 <= 小于或等于 >= 大于或等于 (4)逻辑操作符 操作符 说明 And 两个条件需同时满足 Or 其中一个条件被满足 Xor 有且仅有一个条件被满足 Not 没有条件被满足 (5)过滤器举例 过滤器 说明 !tcp.port==3389 排除 RDP 流量 Tcp.flags.syn==1 具有 SYN 标志位的 TCP 数据包 Tcp.flags.rst==1 具有 RST 标志位的 TCP 数据包 !arp 排除 ARP 流量 http 所有 HTTP 流量 Tcp.port==23 || tcp.port==21 文本管理流量(telnet 或 ftp) Smtp||pop||imap 文本 email 流量 Ip.addr==192.168.1.1 指定 IP 流量 Frame.len<=128 长度小于等于 128 字节的数据包 四、流量分析和图形化功能 1、网络端点 统计每个端点的地址、发送或收到的数据包的数量和字节数。 2、网络会话 统计地址 A 和地址 B 端点间会话的发送或收到的数据包的数量和字节数。 3、协议分层 可查看各种协议的分布统计情况。 4、数据包长度分析 以太网帧最大长度为 1518 字节,图中较大数据包(1280~2559)常用于传输数据,较 小的(40~79)则是协议控制序列,一个 TCP 控制数据包大约在 54 字节。 5、跟踪 TCP 流 红色表示从源地址前往目标地址的流量,蓝色相反。 最初是对 WEB 根目录的 GET 请求,然后是来自服务器的一个用 HTTP/1.1 200 OK 表 示请求成功的响应。 6、图形展示 (1)查看 IO 图 通过选择 X 轴(数据包间隔时间)、Y 轴(数据包数量上限)来调整显示的 IO 图形, 图中显示每团体传输 0~200 个数据包之间,且波动很大,表示是一个慢速下载过程。 通过过滤器可以将不同流量以不同颜色显示 IO 图形对比。 (2)双向时间图 基于两个端口间 TCP 连接对话,确认数据包已被成功接收所需的时间,可与对话统计 配合使用。 图中每一个点都代表了一个数据包的双向时间,单击任何一点可以在 Packet List 面板中 看到相应数据包; 图中显示大部分数据多在 0.05s 以下,少量在 0.10~0.25s 间,对于慢速下载(看网页、 微博等)来说是可以接受的。 (3)数据流图 对于连接可视化,以及将一段时间中的数据流显示出来,配合对话统计使用,可查看两 端点间的数据流。 7、专家信息 (1)数据包标记 警告信息:不正常通信中的异常数据包 ·丢失:上一段数据包丢失时 ·延收:已确认丢失的数据包,又收到了其 ACK 包时 ·保活:当一个连接的保活数据包出现时 ·零窗:接收方达到窗口大小,发出一个零窗口通知时 ·乱序:当数据包被乱序接收时 ·重传:一次重传会在收到一个重复 ACK 的 20 毫秒内进行 注意消息:正常通信中的异常数据包 ·重传:收到重复的 ACK 或重传计时器超时时 ·重复 ACK:当主机没有收到下一个期望序列号的数据包时,会生成最近收到数据的重复 ACK ·零窗探查:零窗口通知包发出后,用来监视 TCP 接收窗口的状态 ·保活 ACK:用来响应保活数据包 ·零窗 ACK:用来响应零窗口探查数据包 ·窗口已满:通知传输主机其接收者的 TCP 接收窗口已满 对话消息:关于通信的基本信息 ·窗口更新:接收者发出,通知发送者 TCP 接收窗口大小已被改变 (2)数据包分析 五、通用底层网络协议 1、地址解析协议 ARP(Address Resolution Protocol) (1)ARP 头 地址解析协议 ARP 偏移位 0~7 8~15 0 硬件类型 16 协议类型 32 硬件地址长度 协议地址长度 48 操作 64 发送方硬件地址(第1个16位) 80 发送方硬件地址(第2个16位) 96 发送方硬件地址(第3个16位) 112 发送方协议地址(第1个16位) 128 发送方协议地址(第2个16位) 144 目标硬件地址(第1个16位) 160 目标硬件地址(第2个16位) 176 目标硬件地址(第3个16位) 192 目标协议地址(第1个16位) 208 目标协议地址(第2个16位) (2)数据包分析 长度:8 位/字节,MAC 地址 48 位,即 6 字节,IP 地址 32 位,即 4 字节。 (3)无偿的 ARP 当 IP 地址改变后,网络主机中缓存的 IP 和 MAC 映射就失效了,为了防止通信错误, 无偿 ARP 请求被发送到网络中,强制所有收到它的设备更新 ARP 映射缓存。 2、IP 协议 (1)IP 头 IP 协议 偏移位 0~3 4~7 8~15 16~18 19~31 0 版本 首部长度 服务类型 总长度 32 标识符 标记 分段偏移 64 存活时间 TTL 协议 首部校验和 96 源 IP 地址 128 目的 IP 地址 160 选项 160or19 2+ 数据 ·服务类型:优先级标志位和服务类型标志位,用来进行 QoS ·标识符:识别一个数据包或被分片数据包的次序,唯一 ·标记:标记数据包是否是一组分片数据包的一部分 ·分片偏移:该数据包是个分片,数据包按分片偏移值顺序重组 ·存活时间 TTL:超过 TTL 时间,数据包将被丢弃 (2)数据包分析 (3)IP 分片 将一个数据流分为更小的片段,是 IP 用于解决跨越不同类型网络时可靠传输的一个特 性。 基于第 2 层数据链路协议所使用的最大传输单元 MTU(Maximum Transmission Unit) 的大小,默认是 1500 字节(不包含 14 字节的以太网头本身),当数据包大小大于 MTU 时 会被分片。 3、传输控制协议 TCP(Transmission Control Protocol) 为数据提供可靠的端到端传输,处理数据的顺序和错误恢复,保证数据能够到达其应到 达的地方。 (1)TCP 头 传输控制协议 TCP 偏移位 0~3 4~7 8~15 16~31 0 源端口 目的端口 32 序号 64 确认号 96 数据 偏移 保留 标记 窗口大小 128 校验和 紧急指针 160 选项 ·序号:表示一个 TCP 片段。 ·确认号:希望从另一个设备得到的下一个数据包的序号。 ·紧急指针:如果设置了 URG 位,紧急指针将告诉 CPU 从数据包的哪里开始读取数据。 (2)TCP 端口 ·1~1023:标准端口组,特定服务会用到标准端口。 ·1024~65535:临时端口组,操作系统会随机地选择一个源端口让某个通信单独使用。 (3)TCP 标志 (4)TCP 三次握手 设置 TCP 数据包序列号显示方式: (5)TCP 的四次断开 (6)TCP 重置 当 TCP 连接中途突然断掉,使用 RST 标志位指出连接被异常中止或拒绝连接请求。 4、用户数据报协议 UDP(User Datagram Protocol) 快速、无连接、不可靠,DNS 和 DHCP 就是使用 UDP 作为传输协议,而它们自己进行 错误检查及重传计时。 (1)UDP 头 用户数据报协议 UDP 偏移位 0~15 16~31 0 源端口 目的端口 32 数据包长度 校验和 (2)数据包分析 5、互联网控制消息协议 ICMP(Internet Control Message Protocol) (1)ICMP 头 控制消息协议 ICMP 偏移位 0~15 16~31 0 类型 代码 校验和 32 可变域 (2)ICMP 类型和代码 http://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml 例如:类型 Type=3 表示目标不可达 Destination Unreachable;代码 Code=3 表示端口不可达 Port Unreachable;由此可知试图进行通信的端口的问题。 Type Name Info 0 Echo Reply Echo 回复 1 Unassigned 未赋值 2 Unassigned 未赋值 3 Destination Unreachable 目标不可达 4 Source Quench (Deprecated) 报源抑制(弃用) 5 Redirect 重定向 6 Alternate Host Address (Deprecated) 修改主机地址(弃用) 7 Unassigned 未赋值 8 Echo Request Echo 请求 9 Router Advertisement 路由器公告 10 Router Solicitation 路由器请求 11 Time Exceeded 超时 12 Parameter Problem 参数问题 13 Timestamp 时间戳 14 Timestamp Reply 时间戳应答 Type 3 — Destination Unreachable Codes Description Info 0 Net Unreachable 网络不可达 1 Host Unreachable 主机不可达 2 Protocol Unreachable 协议不可达 3 Port Unreachable 端口不可达 4 Fragmentation Needed and Don't Fragment was Set 分裂的需要和不片段被设置 5 Source Route Failed 源路由选择不能完成 6 Destination Network Unknown 目的网络不可知 7 Destination Host Unknown 目的主机不可知 8 Source Host Isolated 源主机隔离 9 Communication with Destination Network is Administratively Prohibited 与目标网络的通信出于管理的 需要而被禁止 10 Communication with Destination Host is Administratively Prohibited 与目标主机的通信出于管理的 需要而被禁止 11 Destination Network Unreachable for Type of Service 目标网络不可到达的网络类型 的服务 12 Destination Host Unreachable for Type of Service 目标主机不可到达的网络类型 的服务 13 Communication Administratively Prohibited 通信管理地禁止 14 Host Precedence Violation 主机越权 15 Precedence cutoff in effect 优先中止生效 Type 11 — Time Exceeded Codes Description Info 0 Time to Live exceeded in Transit 生存时间超时;因为路由循环 或由于运行 traceroute,路由 器将包丢弃 1 Fragment Reassembly Time Exceeded 片段重组超时;由于没有收到 所有片断,主机将包丢弃 (3)Echo 请求与响应 >ping 192.168.100.1 (4)路由跟踪 >tarcert 4.2.2.1 路由跟踪将 TTL 自加 1 的过程一直持续直到到达目的地 4.2.2.1,与路径上每一个路由 器进行通信,从而画出前往目的地的路由图。 六、常见高层网络协议 1 、 动 态 主 机 配 置 协 议 DHCP( Dynamic Host Configuration Protocol) (1)DHCP 头 动态主机配置协议 DHCP 偏移位 0~15 16~31 0 操作代码 硬件类型 硬件长度 跳数 32 事务 ID 64 消耗时间 标记 96 客户端 IP 128 你的 IP 160 服务器 IP 196 网关 IP 228+ 客户端 MAC 地址(16字节) 服务器主机名(64字节) 启动文件(128字节) 选项 ·操作代码 OpCode:DHCP 请求或者 DHCP 回复 ·硬件类型 Hardware Type:10MB 以太网、IEEE802、ATM 等 ·硬件长度 Hardware Length:硬件地址长度 ·跳数 Hops:中继代理用来帮助寻找 DHCP 服务器 ·事务 ID:用来匹配请求和响应的一个随机数 ·消耗时间 Seconds Elasped:客户端首次向服务器发出请求后的时间 ·标记 Flags:客户端能够接受的流量类型(单播、广播以及其他) ·你的 IP:服务器为客户端提供的 IP (2)数据包分析 (3)租约内续约 当一个拥有了 IP 的客户端在租约内重新启动,需要进行一次精简版的 DORA 过程来重 新认领它的 IP,只需要完成请求和确认后两步就可以了。 DHCP 消息类型 类型号 消息类型 描述 1 发现 客户端定位可用的服务器 2 提供 服务器响应发现包 3 请求 客户端请求服务器提供的参数 4 拒绝 客户端向服务器指明无效的参数 5 ACK 服务器向客户端发送所请求的配置参数 6 NAK 客户端向服务器拒绝其配置参数的请求 7 释放 客户端向服务器通过取消配置参数来取消租约 8 通知 当客户端已有 IP 时,向服务器请求配置参数 2、域名系统 DNS(Domain Name System) (1)DNS 头 ·QR:查询/.响应 Query/Response,指明数据包是查询还是响应 ·AA:权威应答 Authoritative Answer,表示由域内权威域名服务器发出的 ·TC:截断 Truncation,指明响应太长,无法装入数据包而被截断 ·RD:期望递归 Recursion Desired,表示客户端在目标服务器不含请求信息时要求递归查 询 ·RA:可用递归 Recursion Available,表示域名服务器支持递归查询 ·Z:保留 (2)数据包分析 域名系统 DNS 偏移位 0~15 16~31 0 DNS ID QR 操作代码 AATCRDRAZ 响应代码 32 问题计数 回答区段 64 域名服务器计数 额外记录计数 96 问题区段 回答区段 128 权威区段 额外信息区段 (3)DNS 问题类型 常用 DNS 资源记录类型 值 类型 描述 1 A IPv4 主机地址 2 NS 权威域名服务器 5 CNAME 规范别名 15 MX 邮件交换 16 TXT 文本字符串 28 AAAA IPv6 主机地址 251 IXFR 增量区域传送 252 AXFR 完整区域传送 www.iana.org/assignments/dns-parameters/ (4)DNS 递归 客户端捕获的 DNS 数据包: 内部 DNS 服务器 102 设置了期望递归查询: 服务器端捕获的 DNS 数据包: DNS 服务器进行了递归应答,内部 DNS 服务器 102 不知道 nstarch.com 域名的 IP,由 于设置了期望递归,所以它会向其他 DNS 服务器询问,得到回答会告诉客户端。 (5)DNS 区域传送 出于冗余备份的需要,在两台设备间传送区域数据。 ·完整区域传送 AXFR:将整个区域在设备间进行传送。 ·增量区域传送 TXFR:仅传送区域信息的一部分。 DNS 在一些如区域传送的任务中仍会使用 TCP 协议: 前三个包是 TCP 三次握手,第 4 个包是 164 和 139 间进行区域传送,不包含 DNS 信息, 请求数据由多个包发送,因此第 4 包标记了“重组装 PDU 的 TCP 分片”,包 5 是对数据包 4 的接收确认,包 6 为 DNS 完整区域传送请求。 3、超文本传输协议 HTTP(Hypertext Transfer Protocol) (1)使用 HTTP 浏览 (2)使用 HTTP 上传数据 用户向网站发表评论: 七、基础的现实世界场景 1、捕获 Twitter 社交网络流量 (1)登录过程 (2)上传数据 2、捕获 Facebook 社交网络流量 (1)登陆过程 (2)发送私信 第二个数据包: (3)比较 Twitter 和 Facebook 的方法 Twitter 身份认证方法好,更快速、高效;Facebook 能保证所有内容都能成功传递,并 且由于在关闭身份认证连接前不需要额外的认证,防止中间人攻击(Man-in-the-middle, MITM)。 比较类似的流量可以用来分析相似服务的差异性。 3、捕获新闻网站 ESPN.com 流量(共 956 个数据包) (1)使用会话窗口 (2)使用协议分层统计窗口 这里 HTTP 只有 12.66%,是因为其他 84.41%TCP 流量是纯数据传输和控制数据包。 DNS 数据包共有 28 个,意味着 14 个 DNS 事务(请求与响应),而会话窗口的 UDP 会 话数也正好是 14 个,DNS 查询不会独自发生,其他流量中只有 HTTP,因此可以判断 ESPN 网站的 HTML 代码有可能通过域名引用了其他域或子域,从而导致执行多个查询。 (3)查看 DNS 流量 (4)查看 HTTP 请求 (5)查看概况以了解所花时间 此部分内容可以帮助你了解访问网站时,数据空间是从哪儿来的。 4、现实世界问题 (1)无法访问 Internet:配置问题 ·侦听: 简单办公网络环境,DHCP 分发,用户电脑能访问内网但访问不了 Internet;一边用嗅 探器监听线路,一边让用户尝试浏览 Internet。 ·分析: 获得网关的 MAC 后,发送 DNS 请求以获得访问网址的 IP 地址 正常情况下会很快收到 DNS 响应,但该例中却是向备用 DNS 地址查询,重复查询下去 依旧没有响应。 由于其他用户可以正常上网,路由器到 DNS 服务器是可以正常连接的,那么问题就出 在问题用户计算机上,检查后发现该机是手动配置 IP,默认网关设置错了,不能将 DNS 查 询数据包转发到网络之外。 ·总结: 如果我们注意到 ARP 请求发送到与网关路由器不同的 IP 上,就能立刻知道问题所在。 (2)无法访问 Internet:意外重定向 用户可以访问 Internet,只是不能访问 Google 主页,会被重定向到一个“该页无法显示” 的页面。 用户电脑 172.16.0.8 对网络上另一个设备 ARP 请求,然后试图连接到 102 的 80 端口, 当 102 发回带有 RST 和 ACK 标志的 TCP 后连接请求就中断了,之后又重复了两次,此时 用户的浏览器上显示“该页无法显示”。 ARP 请求并不是指向网关路由器,ARP 之后也没有 DNS 请求以得到 GOOGLE 的 IP, 而 DNS 缓存或 hosts 文件中如果有该域名到 IP 地址的映射时是不进行 DNS 查询请求的,检 查用户电脑的 hosts 文件时发现 GOOGLE 网址对应内网 IP 172.16.0.102,从而导致了以上错 误。 C:\windows\system32\drivers\hosts 或 /etc/hosts (3)无法访问 Internet:上游问题 所有用户都能访问 Internet,只是都不能访问 GOOGLE。 分析: 可能的原因有:WEB 服务器配置错误、WEB 服务器协议栈崩溃、远程网络部署了防火 墙;总之就是远程端的问题,并非用户这边的网络问题。 (4)打印机故障 当用户发送大量打印作业给网络打印机时,它会打印几页就停止工作,可以使用端口镜 像或 HUB 来完成嗅探工作。 前三个包为 TCP 握手,之后就是用户发送的打印数据包,和打印机回复的 ACK 确认包, 直到第 121 个数据包出现问题。 查看数据包时间间隔: 用户电脑尽力重传使数据到达目的地,但打印机就是没响应,这个问题可以在其他电脑 上重现,进一步分析发现是打印机内存故障。 当通信意外停止时,靠 TCP 内置的重传功能指出了问题的确切位置。 (5)分公司之困 分公司工作站能访问 Internet 和分公司服务器,但访问不了总部应用服务器。 在分公司对工作站进行端口镜像: 在分公司对 DNS 服务器进行端口镜像: 开头是之前看到的 DNS 查询和响应,第三个是从服务器向主服务器 250 进行通信: 下一步就是找出区域传送失败的原因,可以嗅控中心办公室 DNS 服务器流量,查看分 公司的 DNS 查询是否到达这里。结果是没有,再进一步检查路由器配置,发现是中心办公 室路由器配置成只允许 53 端口的 UDP 流量进入,而 53 端口的 TCP 被阻止,导致问题的发 生。 (6)生气的开发者 程序员开发了一个跟踪多个商店的销售并报告回中心数据库的应用程序,报告数据累积 一天后在晚上以 CSV 文件形式传回,插入中心数据库;然后插入数据库的数据经常出错, 甚至部分丢失。 用端口镜像功能嗅探服务器流量,只单个商店上传 CSV 文件的流量。 看上去像使用 FTP 来传输文件,使用通信流量图来分析: 可以看到客户机 128 向服务器 121 发起的 FTP 连接(端口 21),前三个包是 TCP 握手。 确认了数据在传输,接下来提取传输文件,以展示文件在传输后并没有被损坏或丢失: 使用工具查看文件的 MD5 值来对比文件的完整性,所以肯定是应用程序处理文件时出 错了。 八、让网络不再卡 1、TCP 的错误恢复特性 “延迟”是数据包传输与接收时间差的衡量参数。 (1)TCP 重传 数据包丢失原因:应用程序故障、路由器流量负载沉重、服务中断。 重传计时器:每当使用 TCP 传输一个数据包时,就会启动重传计时器(重传超时值 Retransmission timeout,RTO),当收到这个数据包的 ACK 时,计时器停止,从发送到收到 ACK 的时间叫往返时间(Round-trip time,RTT)。 当接收主机没有发送 ACK 时,发送主机就假设原来的数据包丢失了,并重传它,如果 一直没收到 ACK,每次重传 RTO 值都翻倍,直到收到 ACK 或达到最大重传次数为止 (Window 默认 5 次,LINUX 默认 15 次)。 (2)TCP 重复确认和快速重传 当接收方收到乱序数据包时,发送重复的包含丢失数据包序号的 ACK,以使发送方重 发该数据包,当发送方收到 3 个重复 ACK 时,就会触发快速重传,立该重发丢失数据包, 其他正在发送的数据包让路。 TCP 序号与确认号:确认号=接收数据的序号+接收数据的字节数 快速重传: ·数据包 4 是发送方以错误序号发送的另一个数据区块。 ·数据包 5 是接收方主机发送第二个重复 ACK。 ·数据包 6 是接收方又收到一个情有错误序号数据包。 ·数据包 7 是第三个也是最后一个重复 ACK。 ·数据包 8 是快速重传数据包。 ·数据包 9 是确认收到快速重传的 ACK。 注意:快速重传标记信息是 Wireshark 的功能,非数据包本身的值。 选择性确认(Selective Acknowledgement):以上实例在握手时协商开启了选择性 ACK, 因此数据包丢失并收到重复 ACK 后还接收了其他数据包,也只需要重传丢失的数据包。如 果不启用就必须重传丢失包之后的每个数据包。 2、TCP 流量控制 TCP 实现了滑动窗口机制,检测何时发生了数据包丢失,利用数据接收方的接收窗口 (Window Size)值来控制数据流量。 (1)调整窗口大小 当接收到数据时,会回复一个 ACK 作为响应,但接收方太繁忙,不能以接收窗口宣告 的速率处理数据时,它将会调整接收窗口的大小,来缓解数据处理的压力。 当服务器能更快地处理数据时,它可以发送一个 ACK,指明更大的窗口大小。 (2)用零窗口通知停止数据流 当服务器无法处理客户端发送的数据时,发送一个零窗口 ACK,客户端收到后会停止 传输数据,并周期性的发送保活包保持连接,当服务器能再次处理数据时会发送一个非零 ACK 恢复通信。 (3)TCP 滑动窗口实战 数据包 6、7 是客户端 30 收到窗口更后再次向服务器 20 发送数据。 滑动窗口: ·第 1 个包是服务器 68 发送给客户端 85 的正常 HTTP 流量。 ·第 2 个包是客户端 85 返回的零窗口包,表示不能再接收数据了。 ·第 3 个包是服务器 68 发送的保活包,零窗口与保活包交递进行,直到客户端发更窗口可 以再接收数据为止。 保活数据包以 3.4s、6.8s、13.5s 的间隔出现,可能会持续相当长的时间,取决于通信设 备采用了哪个操作系统。该例中延迟了 25s。 3、TCP 错误控制和流量控制总结 (1)重传包 客户端检测到服务器没有接收到它发送的数据,发出重传包,如果你在服务器端捕获数 据是看不到重传包的,因此当你怀疑服务器端受到了丢包影响,应该到客户端观察。 (2)重复 ACK 包 当接收到乱序数据包时才会触发重复 ACK,多数情况下,可以在通信两端捕获重复 ACK。 (3)零窗口和保活包 服务器的某些问题可以直接导致窗口大小减少或达到零窗口,通常会在通信两端看见窗 口更新数据包。 4、定位高延迟原因 有时数据包丢失并非延迟造成,当两台主机间通信很慢时,并没有 TCP 重传或者重复 ACK 特征,这时需要查看初始连接握手以及接下来的两个数据包。以相对时间显示来查看 数据包的延迟情况。 (1)正常通信 前三个包是三次握手,包 4 是 HTTPGET 请求,包 5 是 ACK 回复,包 6 是服务器发出 的第一个数据包,可以看得出发生时间非常短,总共才 0.1 秒。 (2)线路延迟 包 2 和 5 有很高的延迟,这是受到线路延迟影响的迹象。因为服务器再忙也能迅速地响 应 SYN 包,包 2 的延迟可以排除服务器端的问题; 包 3、4 是客户端发出的,很快,可以排除客户端的问题; 包 5 的延迟再次标志着线路延迟影响,因为服务器收到 HTTPGET 请求后回复一个 ACK 同样不需要太多处理量。 (3)客户端延迟 三次握手很正常,只有包 4 是客户端发送的 HTTPGET 请求,延迟很高,在客户端发 送握手最后一个 ACK 后应该马上发出 GET 请求,创建和传输 GET 需要应用层的处理,而 这处理过程的延迟意味着根源在于客户端。 (4)服务器延迟 最后一个数据包 6 出现了高延迟,包 6 是服务器发出的第一个 HTTP 数据包,三次握手 的顺利表示线路正常,而 HTTP 数据包需要应用层 HTTP 协议来完成,因此包 6 的延迟意 味着服务器延迟。 (5)延迟定位框架 5、网络基线 网络基线包含来自网络不同端点的流量样本,包括大量我们认可的“正常”网络流量; 作用是在网络或设备工作不正常时作为比较的基准。 (1)站点基线 获得网络上每个物理站点的整体流量快照。 使用的协议:在网络边缘(路由器、防火墙)捕获网段上所有设备流量时,使用协议分 层统计窗口(Protocol Hierarchy)来查看,对照看看是否缺少本应出现的协议,或出现了新 协议,也可用来发现高于正常数量的特定类型的流量。 广播流量:在站点内任一点监听都可以捕获所有广播流量,可了解谁在发送大量广播。 身份验证序列:包括任意客户端到所有服务的身份验证过程的流量,如动态目录、WEB 程序;身份验证通常是服务运行缓慢的一个方面。 数据传输率:包括在网络上测量这个站点到其他站点传输的大量数据,使用概述和绘图 功能确定传输速率和连接的一致性,当网段上建立或拆除连接很慢时,可以运行与基线同样 的数据传输并比较结果。 (2)主机基线 在高流量主机或关键任务服务器上执行。 使用的协议:同站点基线。 空闲/繁忙流量:了解到一天之中不同时段的连接数量及其占用的带宽大小,有助于确 认缓慢是用户负载还是其他原因造成的。 启动/关闭:在主机启动和关闭时创建一个流量捕获,一旦计算机不能启动、关闭或这 过程缓慢,就可以使用它确认问题是否与网络有关。 身份验证序列:在主机上所有服务的身份验证过程的流量。 关联/依赖:长时间捕获,以确定主机依赖于哪些主机(以及哪些主机依赖它),通过会 话窗口 Conversations 查看,例如 WEB 服务器依赖于 SQL 服务器。用来确定主机不能正常 运转是配置错误还是因为所依赖的主机的高延迟。 (3)程序基线 用于所有基于网络的关键业务应用程序。 使用的协议:在运行应用程序的主机上捕获,查看协议分层统计窗口。 启动/关闭:捕获应用程序启动和关闭时生成的流量来确定原因。 关联/依赖:同上。 数据传输率:同上,确定问题是否是高利用率或高用户负载造成的。 (4)注意事项 创建基线至少 3 次:低流量期(早晨)、高流量期(下午 3 点)、无流量期(深夜)。 避免直接在需要创建基线的主机上捕获流量:因为在高流量其,会增加设备负载、影响 性能。 将平时捕获的基线存在安全的地方,以免一些与网络有关的私密信息被偷窃。 让所有.pcap 文件与你的基线关联,为更常见的参考值写一份“小抄”,比如关联关系或 数据传输率。 九、安全领域的数据包分析 1、网络侦察 又叫网络踩点,扫描目标的 IP 或域名的开放端口或运行服务。通过扫描可以确定目标 是否在线并可达。 (1)SYN 扫描 依赖于 TCP 三次握手协议,攻击者发送 TCPSYN 到目标的范围端口上,通过目标的返 回情况来判断目标端口是否开放。 ·返回 SYN/ACK 表示端口开放; ·返回 RST 表示端口关闭; ·无返回表示被防火墙阻止或者丢失等。 NMAP 扫描工具:http://www.nmap.com/download.html 过滤结果: 查看 http 的 80 端口流量,受害者第一个回应 SYN/ACK 没有得到响应,又重发了 3 次 才放弃,可以确定受害者的 80 端口是开放的。 识别端口状态: 通过 Conversations 窗口中 Packets 数量可以识别出哪些端口是开放的。 (2)操作系统指纹术 指在没有物理接触的情况下,用来确定机器运行的操作系统信息的一组技术。 变动式: 只监听目标主机发送的数据包,不向目标发送任何流量,非常隐蔽。 常用识别域并不完整,容易导致偏差,建议使用 p0f 工具: http://lcamtuf.coredump.cx/p0f.shtml 主动式: 主动向受害者发送特意构造的数据包以引起响应,从而获知操作系统信息。如使用 Nmap 扫描等。参考 Nmap 权威指南《Nmap Network Scanning》。 2、漏洞利用 (1)极光行动 2010 年 1 月极光行动利用 IE 浏览器漏洞取得 GOOGLE 及其他公司机器的 root 级别的 远程控制权限。 工作原理: ·受害者打开来自攻击者的邮件,点击里面的链接,跳到恶意网站 ·攻击者的恶意网站返回 302 重定向 ·受害者向重定向的 URL 发起 GET 请求 ·攻击者 WEB 服务器向受害者发送一个含有混淆的 JavaScript 代码的页面,和一个含恶意 GIF 链接的 iframe ·受害者下载恶意 GIF 图像 ·利用 IE 漏洞,使用 GIF 反混淆 javaScript 代码,在受害者机器上执行 ·受害者机器执行隐藏在代码中的 payload,在 4321 端口向攻击者发出新会话(CMD) ·攻击者通过 CMD 操控受害者机器 (2)ARP 缓存攻击 攻击者重定向两台主机间的流量,试图在传输过程中对流量进行拦截或修改。包括会话 劫持、DNS 欺骗和 SSL 劫持。 在 Edit-Preferences 中增加两列显示(来源和目的 MAC 地址): 攻击者直接发给受害者 ARP 请求而不是广播发送,并且将 IP 伪装成路由器的 IP172.16.0.1,而后又欺骗受害者路由器的 MAC 为自己的 MAC。这样就截获了受害者的流 量。 (3)远程访问木马 ……忽略…… 十、无线网络数据包分析 1、物理因素 (1)一次嗅探一个信道 WLAN 使用无线频谱作为共享介质,将频谱划分为 11 个信道,单个 VLAN 同时只能操 作一个信道,意味道嗅探也只能同时嗅探一个。 某些无线扫描程序使用“跳频”技术,可双迅速改变监听信道以收集更多数据,如 Kismet http://www.kismetwireless.net (2)无线信号干扰 无线网络有一定的抗干扰特性,但并不完全可靠,同时还有信道间干扰,因为频谱空间 有限,信道间有些许重叠。因此,同一地域上的多个 WLAN 被设置成使用 1、6 和 11 这三 个不重叠信道。 (3)检测和分析信号干扰 可以用频谱分析仪来检测信号干扰,如 MetaGeek 开发的 Wi-Spy 产品。 2、无线网卡模式 被管理模式(Managed mode):客户端与无线接入点 WAP 连接时。 Ad hoc 模式:客户端直连时。 主模式(Mater mode):无线网卡作为其他设置的 WAP。 监听模式(Monitor mode):无线客户端停止收发数据,专心监听空气中的数据包,需要无 线网卡和驱动支持监听模式。 推荐做数据包分析的无线网卡:ALFA 1000mW USB 无线适配器。 3、在 Windows 上嗅探无线网络 大部分基于 Windows 的无线网卡驱动不允许切换到监听模式,包换 WinPcap,需要额 外的硬件。 (1)配置 AirPcap AirPcap(http://www.cacetech.com)像 U 盘一样小巧,用于捕获无线流量,配置选项: Interface:选择要捕获的设备 Blink Led:有多个 AirPcap 时,用来识别正在使用的适配器 Channel:选择监听的信道 Include 802.11 FS in Frames:默认会去掉数据包最后的 FCS 校验和,勾上后包含 FCS Capture Type:802.11 Only 和 802.11+Radio,选择后者获得更多可用信息 FCS Filter:过滤 FCS 认为已经被损坏的数据包 WEP Configuration:输入所嗅探网络的 WEP 密码 (2)AirPcap 捕获流量 安装和配置好 AirPcap 后,启动 Wireshark,选择 Capture>Options>interface>AirPcap, 单击 Start 开始捕获。 4、在 Linux 上嗅探无线网络 只需要启用无线网卡的监听模式,启动 Wireshark 即可。Linux 通过内置的无线扩展程 序启用监听模式。 查看接口模式: #iwconfig Eth1 Mode:Managed 配置成监听模式: #iwconfig eth1 mode monitor #iwconfig eth1 up 改变监听信道: #iwconfig eth1 channel 3 5、802.11 数据包结构 无线数据包增加了一个 2 层的 802.11 头部,包含与数据包和传输介质有关的额外信息。 802.11 数据包有 3 种类型: 管理:用于主机间建立二层连接,子类型有认证(authentication)、关联(association )和信号(beacon)数据包。 控制:允许管理数据包和数据数据包的发送,并与拥塞管理有关。子类型有请求发送 (request-to-send)和准予发送(clear-to-send)数据包。 数据:包含有真正的数据,唯一可以从无线网络转发到有线网络的数据包。 6、增加无线专用列 7、无线专用过滤器 (1)筛选特定 BSSID 的流量 每个 WAP 都有自己的 BSSID(Basic Service Set Identifier)基础服务设备识别码,管理 分组和数据分组数据包都包含它,在 Packet List 面板的 INFO 列可以找到,查看该数据包详 细可在 802.11 头部中找到它的 MAC 地址。当你要查看某个 WAP 所传输的数据包时,可使 用如下过滤器: wlan.bassid.eq 00:11:22:33:44:55:66 (2)筛选特定的无线数据包类型 无线类型/子类型和相关过滤器语法 帧类型/子类型 过滤器语法 Management frame wlan.fc.type eq 0 Control frame wlan.fc.type eq 1 Data frame wlan.fc.type eq 2 Association request wlan.fc.type_subtype eq 0x00 Association response wlan.fc.type_subtype eq 0x01 Reassociation request wlan.fc.type_subtype eq 0x02 Reassociation response wlan.fc.type_subtype eq 0x03 Probe request wlan.fc.type_subtype eq 0x04 Probo response wlan.fc.type_subtype eq 0x05 Beacon wlan.fc.type_subtype eq 0x08 Disassociate wlan.fc.type_subtype eq 0x0A Authetication wlan.fc.type_subtype eq 0x0B Deauthentication wlan.fc.type_subtype eq 0x0C Action frame wlan.fc.type_subtype eq 0x0D Block ACK requests wlan.fc.type_subtype eq 0x18 Block ACK wlan.fc.type_subtype eq 0x19 Power save poll wlan.fc.type_subtype eq 0x1A Request to send wlan.fc.type_subtype eq 0x1B Clear to send wlan.fc.type_subtype eq 0x1C ACK wlan.fc.type_subtype eq 0x1D Contention free period end wlan.fc.type_subtype eq 0x1E NULL data wlan.fc.type_subtype eq 0x24 QoS data wlan.fc.type_subtype eq 0x28 Null QoS data wlan.fc.type_subtype eq 0x2C (3)筛选特定频率 显示信道 1 所有流量的过滤器:radiotap.channel.frep == 2412 信道 频率 1 2412 2 2417 3 2422 4 2427 5 2432 6 2437 7 2442 8 2447 9 2452 10 2457 11 2462 8、无线网络安全 最初推荐用的无线加密技术是依据“有线等效加密”(Wired Equivalent Privacy,WEP) 标准。后来发现有密钥管理漏洞,又出了新标准“无线上网保护接入”(Wi-Fi Protected Access, WPA)和 WPA2 标准。 (1)成功的 WEP 认证 认证成功后,客户端可以发送关联请求(数据包 10)、接收确认、完成连接过程。 (2)失败的 WEP 认证 数据包 3:WAP 发送质询文本,包 4 确认 数据包 5:客户端发送 WEP 密码,包 6 确认 数据包 7:客户端对质询文本的响应不正确,表明密码输错了。 (3)成功的 WPA 认证 客户端(82)收到广播后,向 WAP(80)发送探测请求(包 2)并得到了响应(包 3); 之后两者间生成认证与关联的请求及响应(包 4~7); 包 8 是 WPA 开始握手的地方,持续到包 11,即 WPA 质询响应过程; 认证成功后就开始传输数据了(包 12 起)。 (4)失败的 WPA 认证 从包 8 开始,看到了 8 个 WPA 握手数据包,由于在握手包 8 和 9 中,客户端响应的质 询文本有误,所以在 10 和 11、12 和 13、14 和 15 重复了三次,失败后通讯中止,包 16 表 示认证失败。 附录 A:其他数据包分析工具 A1、Tcpdump 和 Windump Tcpdump 使用广泛,完全基于文本,处理海量数据时非常可靠,Linux 下使用。 http://www.tcpdump.org Windump 是 tcpdump 的 Windows 版本。 http://www.winpcap.org/windump A2、Cain & Abel Windows 平台上最好的 ARP 缓存中毒攻击工具之一,还有其他用途。 http://www.oxid.it/cain.html A3、Scapy 强大的 Python 库,允许使用基于命令行脚本的方法创建、修改数据包。 http://www.secdev.org/projects/scapy A4、Netdude Linux 平台,较 Scapy 功能有限,但提供了图形界面。 http://netdude.sourceforge.net A5、Colasoft Packet Builder Windows 平台,类型 Netdude,用于创建和修改数据包。 http://www.colasoft.com/packet_builder A6、CloudShark 可在线分享数据包捕获记录,可在网站上浏览捕获文件发给同事共同分析。 http://www.cloudshark.org A7、pcapr 用于分享 PCAP 文件的 Web2.0 平台,上面有大量的捕获文件及协议例子。 http://www.pcapr.net A8、NetworkMiner 用于网络取证的工具,强项在于解析数据包,检测网络各端的操作系统类型,将文件解析成 主机间的会话,甚至可以从捕获记录中提取传输的文件。 http://networkminer.sourceforge.net A9、Tcpreplay 用于重传 PCAP 文件里的数据包并观察设备如何响应它们。 http://tcpreplay.synfin.net A10、ngrep Linux 平台,类似管理符 grep,允许在 PCAP 数据上执行特定搜索,当过滤器无法实现复杂 情况时就用 ngrep。 http://ngrep.sourceforge.net A11、libpcap 用于网络流量捕获的可移植的 C/C++库,可用来开发高级解析数据包或创建处理数据包的应 用程序,wireshark、tcpdump 等就依赖于它。 http://www.tcpdump.org A12、hping 是一个命令行的数据包操纵和传输工具,支持各种协议,反应快且直观。 http://www.hping.org A13、Domin Dossier 查询域名或 IP 地址的注册信息。 http://www.centralops.net/co/DomainDossier.aspx A14、Per 和 Python 脚本语言,可以在数据包上做些有趣的事情。 附录 B:数据包分析资源 B1、Wireshark 主面 包括软件文档、wiki。 http://www.Wireshark.org B2、SANS 安全入侵检测深入课程 SANSSEC 503: Intrusion Detection In-Depth http://www.sans.org B3、Chris Sanders 博客 http://www.chrissanders.org B4、Packtstan 博客 http://www.packetsan.com B5、Wireshark 大学 http://www.wiresharktraining.com

下载文档,方便阅读与编辑

文档的实际排版效果,会与网站的显示效果略有不同!!

需要 10 金币 [ 分享文档获得金币 ] 6 人已下载

下载文档

相关文档