Tacacs-协议交互报文抓包示例
其他文章:
- Tacacs+协议原理
- Tacacs+服务搭建与配置详解
- Tacacs+各厂商交换机配置
- Tacacs+协议交互报文抓包示例
tacacs+协议报文抓包示例
如果使用wireshark对tacacs+报文进行抓包,需要将tacacs+服务器的tac_plus服务监听端口设置为49,这是为tacacs+分配的默认端口,TCP 49。
此时,会将TCP 49端口的报解码为tacacs+报文。否则,看到的都是TCP交互报文。
实验拓扑:
本次实验在eve-ng仿真环境中进行测试,可测试H3C,华为,Arista,Cisco设备。
图中Linux运行CentOS7系统,安装了Tacacs+守护进程,监听192.168.147.135 TCP 49端口。
图:实验拓扑
Tacacs+报文交互流程图:
图:tacacs+报文交互
注意:在wireshark中抓的tacacs+报文默认为加密报文,无法看到详细的报文内容,需要在wireshark中输入tacacs+密钥进行解密,从而可以查看报文内容。
操作步骤:选择tacacs+协议报文,右键选择Protocol Preferences, 选择,TACACS+Encryption Key
输入Tacacs+服务器密钥即可解密报文。
Authentication报文抓包示例:
认证请求报文:
如下图,当用户远程登陆交换机时,交换机会将用户名,密码都发给tacacs+服务器,进行认证请求。
图:当发起认证后交换机发起的第一个认证报文
认证回应报文:
Tacacs+服务器收到交换机的认证请求报文后,如果账号密码都正确,则返回认证回应报文,里面表明认证通过。
如果账号或密码不正确,则返回认证失败报文。
图:tacacs+服务器给交换机回应的认证通过报文
图:认证失败报文
Authorization报文抓包示例:
授权请求报文:
在认证成功之后,交换机会发起授权请求报文,携带service类型,需要授权的命令。
图:交换机发起的授权请求报文
授权回应报文:
Tacacs+服务器收到授权回应请求报文后,会根据配置文件进行回应授权情况,如:p riv-lvl=15。
图:授权回应报文
Accounting报文抓包示例:
计费请求报文:
在认证和授权成功之后,交换机会发起计费请求报文。
图:计费请求报文
计费回应报文:
图:计费回应报文
输入dis ip inter bri 后的授权和计费过程抓包示例:
在认证成功之后,在交换机输入的每条命令都会进行如下四个报文交互流程。
授权请求报文:
在下图中可看到,当在交换机上输入dis ip inter bri后,交换机会向Tacacs+服务器发起授权请求报文,报文内的dis ip inter bri 会被交换机自动补全,并按空格进行分割,请求多个cmd value,从而发送个服务器进行授权请求。
在Tacacs+服务器上会根据配置文件的授权配置,匹配正则表达等进行判断是否授权。
图:交换机命令的授权请求报文
授权回应报文:
图:授权回应报文,授权通过
计费请求报文:
在命令被授权后,交换机如果配置了tacacs+计费,会发起计费请求报文,计费请求报文中会携带命令的相关信息,命令字符串,命令级,时区等。
图:交换机发起的命令计费请求报文
计费回应报文:
图:计费回应报文
Tacacs+服务超时自动端口连接报文抓包示例:
图:tacacs+服务超时自动断开连接
图:tacacs+计费会应报文
Tacacs+服务器认证,授权,计费日志示例
Access.log:
[root@localhost ~]# more /var/log/tac_plus/a
access/ accounting/ authentication/ authorization/
[root@localhost ~]# more /var/log/tac_plus/access/access.log
2020-10-06 15:47:43 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii lo
gin succeeded
2020-10-06 16:01:36 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii lo
gin succeeded
2020-10-06 16:07:37 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii lo
gin succeeded
2020-10-06 16:13:43 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii lo
gin succeeded
2020-10-06 17:59:12 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii lo
gin succeeded
2020-10-06 17:59:22 +0800 192.168.147.134 user GigabitEthernet1/0 192.168.147.1 ascii login fail
ed (no such user)
2020-10-06 17:59:22 +0800 192.168.147.134 user GigabitEthernet1/0 192.168.147.1 shell login fail
ed (no such user)
2020-10-06 17:59:22 +0800 192.168.147.134 user GigabitEthernet1/0 192.168.147.1 shell login fail
ed (no such user)
authentication.log 认证日志示例:
[root@localhost ~]# more /var/log/tac_plus/authentication/authentication.log
2020-10-06 15:47:43 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii lo
gin succeeded
2020-10-06 16:01:36 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii lo
gin succeeded
2020-10-06 16:07:37 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii lo
gin succeeded
2020-10-06 16:13:43 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii lo
gin succeeded
2020-10-06 17:59:12 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii lo
gin succeeded
2020-10-06 17:59:22 +0800 192.168.147.134 user GigabitEthernet1/0 192.168.147.1 ascii login fail
ed (no such user)
authorization.log 授权日志示例:
[root@localhost ~]# more /var/log/tac_plus/authorization/authorization.log
2020-10-06 15:47:48 +0800 192.168.147.134 tacacsuser vty0 permit system-view <cr>
2020-10-06 16:01:45 +0800 192.168.147.134 tacacsuser vty0 permit display ip interface bri
ef <cr>
2020-10-06 16:06:34 +0800 192.168.147.134 tacacsuser vty0 permit system-view <cr>
2020-10-06 16:06:35 +0800 192.168.147.134 tacacsuser vty0 permit display this <cr>
2020-10-06 16:06:37 +0800 192.168.147.134 tacacsuser vty0 permit display current-configur
ation <cr>
2020-10-06 16:07:19 +0800 192.168.147.134 tacacsuser vty0 permit hwtacacs scheme c
as <cr>
2020-10-06 16:07:20 +0800 192.168.147.134 tacacsuser vty0 permit primary authentication 1
92.168.147.135 49 single-connection key simple ****** <cr>
2020-10-06 16:07:20 +0800 192.168.147.134 tacacsuser vty0 permit primary authorization 19
2020-10-06 16:09:15 +0800 192.168.147.134 tacacsuser vty0 permit display ip interface bri
accounting.log 计费日志示例:
[root@localhost ~]# more /var/log/tac_plus/accounting/accounting.log
2020-10-06 15:47:43 +0800 192.168.147.134 tacacsuser vty0 192.168.147.1 start task_id=0
timezone=0 service=shell
2020-10-06 15:47:48 +0800 192.168.147.134 tacacsuser vty0 stop task_id=0 timezone
=0 service=shell priv-lvl=15 cmd=system-view
2020-10-06 15:49:39 +0800 192.168.147.134 tacacsuser vty0 stop task_id=0 timezone
2020-10-06 18:27:23 +0800 192.168.147.134 user1 vty0 192.168.147.1 start task_id=0 timezone
=0 service=shell
2020-10-06 18:27:24 +0800 192.168.147.134 user1 vty0 stop task_id=0 timezone=0
service=shell priv-lvl=15 cmd=system-view
2020-10-06 18:27:27 +0800 192.168.147.134 user1 vty0 stop task_id=0 timezone=0
service=shell priv-lvl=15 cmd=display ip interface brief
2020-10-06 18:37:28 +0800 192.168.147.134 user1 vty0 192.168.147.1 stop task_id=0 timezone
=0 service=shell disc_cause=0 disc_cause_ext=0 bytes_in=0 bytes_out=0 paks_in=0
paks_out=0 elapsed_time=605
其他文章:
- Tacacs+协议原理
- Tacacs+服务搭建与配置详解
- Tacacs+各厂商交换机配置
- Tacacs+协议交互报文抓包示例
Tacacs-协议交互报文抓包示例相关推荐
- Wireshark使用(捕获过滤器、显示过滤器、TCP交互抓包示例、抓取本地回环数据包等)
1.捕获过滤器规则 1.1 作用 捕获过滤器在开始捕捉之前设置,用于从源头控制被过滤的包内容,仅符合规则的包会被捕获并记录进捕获日志文件. 1.2 语法规则 字段:[Protocol][Direc ...
- HTTP:Form表单的交互与抓包
HTTP协议的学习,我之前避开了最基础最概念的东西,写到现在,我发现若是以前从来没接触过服务端,没了解过抓包,还不知道ABNF的一些核心规则.根本没法继续学下去 网络协议的概念实在太多,不动手实操一下 ...
- 【网络协议】tcpdump抓包
一.简介 tcpdump根据使用者的定义对网络上的数据包进行截获的包分析工具,用简单的话来定义: dump the traffic on a network tcpdump可以将网络中传送的数据包的& ...
- telnet协议的Wireshark抓包分析
文章目录 1.telnet背景介绍 2.telnet服务器的安装 3.使用MobaXterm的telnet连接 4.使用Wireshark进行抓包 1.telnet背景介绍 常用的登录远程服务器的方式 ...
- DHCP协议的Wireshark抓包分析
文章目录 1.理论介绍 2.windows的DHCP配置 3.Wireshark抓包DHCP分析 3.1.DHCP Discover 3.2.DHCP Offer 3.3.DHCP Request 3 ...
- 软测5班Http协议与Fiddler抓包(2019-10-24)
一:什么是http协议 协议是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或者规则,超文本传输协议(http)是一种通信协议,它允许将超文本标记语言(html)文档从web服务器传送到 ...
- 抓包mysql协议_Mysql 通信协议抓包分析
mysql在传输层使用的TCP协议.一个TCP payload可能有多个mysql packet.如下图所示. TCP head TCP payload (mysql packet1, mysql p ...
- xmpp协议抓包_xmpp协议使用iptool抓包工具分析
下面是使用iptool工具抓包的协议,留作以后学习xmpp协议. s <?xml version="1.0"?> r <?xml version='1.0'?&g ...
- 短视频dy(某音)高版本最新最全4种抓包方案,第1种让你秒破QUIC协议,破解抓包难题,看我这一篇就够了!
一.前言 一般大多数网站.APP最常用的是http.https协议,而某两款最火的短视频dy(某音).ks(某手)最新版使用的是quic协议(见附录1),导致fiddler和charles无法直接抓到 ...
最新文章
- linux下查看监听端口对应的进程
- 微信支付教程系列之公众号支付
- Codeforces 1305F Kuroni and the Punishment (随机化)
- Json,Hashlib与Base64(占坑待补)
- php redis 扩展 编译安装,Linux 下 PHP 扩展 redis 编译安装
- mysql 凭证_如何用mysql验证flask/python中的凭证?
- 请写出3个Android布局,一起撸一波干货集中营练练手Android(三)布局+实现篇
- 32张图带你彻底搞懂事务和锁!
- 被一个熟悉的面试题问懵了:StringBuilder 为什么线程不安全?
- 工作面试时最难的25个问题
- php7新特性的理解和比较
- 单元三:阻抗匹配(电容电感,变压器,传输线变压器,附带硬件电路)
- php unshift,PHP Ds\Vector unshift()用法及代码示例
- 等我装完B 我再收拾你 Wating me to fuck you
- 矩阵最大覆盖问题:最多有多少个矩阵是重合覆盖的
- JDK19都出来了~是时候梳理清楚JDK的各个版本的特性了【JDK16特性讲解】
- Q - Phalanx
- python爬取豆瓣top250信息并存入数据库中 | sqlite3
- PMP一模考试错题集+解析 之 人员
- 【多元统计分析】02.多元正态分布