《Wireshark网络分析从入门到实践》整理和总结

文字版排版较乱

有需要的请查看脑图版http://naotu.baidu.com/file/c74183f46a5c9ed21b48d95baa7bdc65?token=001e59b49f756370

密码为：iqGm

1.认识wireshark

介绍安装和抓一个包

2.过滤

伯克利(BPF)网卡捕获过滤

host 192.168.1.1 目标地址或源地址
dst host 192.168.1.1 目标地址
src host 192.168.1.1 源地址port 8080 源端口或目标端口tcp dst port 80 只保留目标端口为80的TCP数据包ip src host 192.168.1.1 只保留原地址为192.168.1.1 的数据包src portrange 2000-5000 只保留原端口在2000-5000 范围的 UPD和TCP数据包not icmp 保留除了icmp以外的数据包src host 10.7.2.12 and not dst net 10.200.0.0/16
保留原地址为10.7.2.12 但目标地址不为10.200.0.0/16范围的数据包细微操作
proto[expr:size] 协议[协议层字节:操作字节数]例:ip[12:4] = 0xc0a80101
类似:dst host 192.168.1.1位于IP数据包头第12,13,14,15位,expr为12,size为4,地址192.168.1.1的十六进制为“0xc0a80101”

显示过滤器->菜单栏输入框根据表达式->可创建自定义过滤器

标签名:
DHCP Error过滤器:
bootp.option.dhcp== 4 || bootp.option.dhcp== 6 || bootp.option.dhcp== 7

数据包细节面板右键直接创建

3.捕获文件的操作

每隔10秒捕获文件分包,避免文件过大停止响应
环状缓冲区,新的覆盖旧的文件
解析名称
保存配置文件,方便换电脑

4.虚拟网络环境构建

eNSP华为虚拟设备软件
VMware PC虚拟工具
Kali Linux 2集成工具渗透测试操作系统
eNSP 与 VMware 进行连接通信

5.网络设备

网线的抓包(物理层)，只需一条网线,比特流会顺着网线的方向移动到下一个设备,无需IP,只用物理层!
集线器的抓包(物理层)，也工作在物理层,不识别ip和mac,自身复制n-1份数据分发到网口,俗称广播
交换机(数据链路层,替代集线器)，交换机能识别数据包内容,俗称转发

学习,存储MAC地址表,接到数据帧就查看,没有则写入
转发,根据MAC地址表,找到数据包的目的地地址,找到就发送
更新,存在生命周期,定时更新

路由器(网络层)，数据包从网关到达目标所在子网的过程

静态路由表,根据网络情况配置,管理员手动修改静态路由表
动态路由表,路由器根据协议自动计算数据传输的最佳路径

6.Wireshark实战部署

远程数据包获取
远程桌面安装RPCAP,数据转发给监听主机
交换机的端口镜像
模拟集线器,把一个端口的流量复制转发到多个端口
ARP欺骗(中间人NITM攻击)
ARPSpoof或Cain
A说我是网关,受欺骗的B把数据包都发送给A
网络分路器(类似端口镜像,额外硬件)
本地流量获取
Wireshark不能抓取环回数据包
RawCap抓本地包到Wireshark分析
虚拟流量获取
桥接(Bridge)独立物理机,监听正常网卡,过滤eth.addr== 虚拟机硬件地址
仅主机(Host-only)不能连接主机以外的设备,监听虚拟网卡即可
NAT 监听 NAT的网卡即可

7. 定位网络延迟

虚拟网络设备搭建一套HTTP访问过程
        抓包访问过程
            TCP3次握手是客户端操作系统发出,HTTP请求数据包是由客户端应用发出
            本地应用程序花费时间 = 客户端发送TCP数据包和HTTP构造请求或应答之间的时间间隔
        Wireshark支持时间精度切换,纳秒需要网卡支持,增加新列tcp_time_delta进行对比
        网络延迟(SYN+ACK) = 抓包TCP三次握手中第二次ACK应答的服务器响应时间判断是否延迟
        客户端延迟(应用层请求) =  抓包TCP三次握手后的首次HTTP请求发起时间
        服务器延迟(应用层回应) = (S的回应时间 - C首次HTTP请求发起时间) - 网络延迟时间

8. 不能上网原因

建立仿真网络
1.检查网卡,ipconfig查看是否正常
2.检查ip配置,ipconfig,发现是DHCP
分析DCHP Discover数据包 255.255.255.255 广播数据包 0.0.0.0计算机没有IP地址
3.检查网关连接,ping
网关关闭
ARP协议问题
Arp -a 查看系统缓存 ARP表
4. 获取域名服务器的IP
对比DNS失败包和正常包的区别
5.网络路径连通性
traceroute利用TTL值特性,下一跳TTL值累加1
PingPlotter可指定数据包大小
Wireshark配合下抓包可以看到具体路由器、IP协议包
6.其他
用户提供URL或端口错误
人为出错
防火墙屏蔽
所有ICMP数据包无法响应
应用程序不正常工作
ICMP可能显示 Destination Host is Unreachable或Destination Port is Unreachable
可TCP连接不正常的话,还有
用户授权、权限、认证
应用程序配置,错误故障

9.失常的交换机,链路层攻击

交换机常用攻击
MAC地址欺骗
修改自己的MAC跟监听主机一致,交换机发送数据到目的端口
MAC地址泛洪攻击
利用交换机CAM表不能工作时数据包全部端口转发的机制,制造大量数据帧导致CAM表爆满.
STP操纵攻击
伪造BPDU传播生成树信息,动态改变网络拓扑,劫持所有网络流量.
广播风暴攻击
ARP、DHCP的广播大量复制
实战抓包分析Switch.pcapng
通过捕获文件属性 ,统计大量来历不明的ip数据包
通过协议分级分析
通过会话统计分析
分析出MAC地址泛洪攻击
分析攻击源头
使用Kali Linux 2中macof工具发起MAC泛洪攻击
如何防御MAC泛洪
限制某一端口MAC地址数量为8个

10.中间人攻击(NITM),网络层欺骗

中间人攻击相关理论
ARP协议相关理论
ARP欺骗原理
专家系统分析中间人攻击
发起中间人攻击
使用arpspoof截获数据包
动态ARP表的情况下
转发数据包到真实网关
使用Wireshark发起攻击
如何防御
静态绑定ARP表,绑定网关
DHCP Snooping监听,维护绑定表进行ARP检测
划分VLAN,限制攻击者范围

11.泪滴攻击,网络层

泪滴攻击相关理论
IP协议格式
IP分片
泪滴攻击
Wireshark着色规则查看
根据TTL值判断攻击来源

12.SYN Flooding洪水,传输层

DoS拒绝服务攻击理论
TCP建立连接
SYN flooding攻击
使用Hping3发起攻击
使用Wireshark流向图flow graph分析
如何防御
丢弃第一个SYN数据包(需客户端发送两次SYN数据包)
反向探测,根据SYN数据包源地址发送探测包,判断合法性
代理模式,防火墙代替服务器建立半开连接,建立连接后再进行转发到服务器
在Wireshark中显示地理位置,查看DDoS

13.网络在传输什么?数据流功能

TCP流的传输和Wireshark中的追踪
Wireshark可以导出流的数据 Export Objects
手动导出一个图片
网络取证实践
1.和Ann通信的好友叫什么?
查看包ip,地理位置插件发现目的地址,,判别为AIM通信,SSL Decode AS AIm,查看AIM Messaging
2.第一条消息是什么?
数据包TVL部分
3.Ann传送的文件名是什么
追踪TCP流
4.查看Magic number是什么?标志头用于辨识文件类型,最前面4Bytes
用WinHex查看流最前面4个bytes,50 4B 03 04
5.文件MD5值是什么?
文件身份证,用任何工具计算出来保存好.
6.文件内容是什么?
第4题后将TCP流保存为recipe.docx即可打开

14.UDP Flodding洪水,传输层

UDP Flooding相关理论
UDP协议
UDP Flooding攻击
模拟UDP Flooding攻击
Kali Linux2下hping3工具
Wireshark绘图功能分析攻击
statistics - iO graph
如何防御
暴力限流
基于IP地址的限流,阈值后丢弃
基于目的安全区域的限流,安全区域逻辑概念,指一个或多个接口
基于会话限流,监测报文速率,太高就锁定,3秒以上无流量则解锁
华为防火墙提出指纹学习概念,分析UDP报文内容,相同特征则丢弃
amCharts图表,报告用的美观大方的图表

15.缓冲区溢出,应用层

缓冲区溢出攻击相关理论(大都通过应用层协议实现)
http请求和应答
抓包http请求
模拟缓冲区攻击
Easy File sharing Web server7.2文件共享的bug
分析缓冲区溢出攻击
分析缓冲区长度
查询该漏洞详细信息
使用WinDBG和IDA Pro对目标调试,计算出长度
Wireshark分析攻击内容,计算长度
Wireshark数据包查找功能(放大镜)
Display filter普通过滤器
Hex value 十六进制包查找
String字符搜索
Packet list包列表
Packet details 包详情
Packet bytes 包内容
Regular Expression正则搜索
检测远程控制案例
服务器TCP握手客户端,web漏洞被反向控制
服务器大量4444端口与目标主机通信,被植入PE
tools-Firewall ACL Rules中快速查找一条防火墙规则屏蔽4444端口
HTTPS的解析

16.扩展Wireshark的功能

Lua的支持
新协议的注册
添加一个协议
添加协议解析器
注册到Wireshark中
新协议测试工具xcap发包工具
Lua开发恶意攻击数据包检测模块

17.Wireshark中的辅助工具

Tashark.exe Wireshark命令行版
editcap.exe 转换捕获数据包的文件格式
dumpcap.exe 和Tshark意义,保存文libpacap格式
mergecap.exe 多个数据包合并成一个
capinfos.exe 显示数据包的文件信息
text2pcap.exe 将十六进制转文件再转捕获数据包格式
USBPcapCMD 获取U盘通信
使用命令后捕获转存后到图形界面查看

参考资料：

《Wireshark网络分析从入门到实践》李华峰,陈虹