从零开始学习网络安全渗透测试之基础入门篇——(六)网络抓包&全局协议&封包监听&网卡模式&科来&wireshark&PC应用

网络抓包技术是一种用于捕获和分析网络数据包的技术手段。它能够帮助我们深入了解网络中的数据传输情况,对于网络故障排查、性能优化、安全监测等方面都具有重要意义。

网络抓包的工作原理通常是通过将网络接口设置为混杂模式,使其能够接收流经该接口的所有数据包。然后,使用专门的抓包软件或工具对这些数据包进行捕获和存储。

常见的网络抓包工具除了前面提到的 Wireshark 之外,还有 Tcpdump、Fiddler 等,国内的主要有科来网络。

为了方便大家使用,作者收集到百度网盘分享学习。

链接:https://pan.baidu.com/s/1uKUsQfIlWOxTNPvU8DewKQ?pwd=mf7v

提取码:mf7v

网络抓包技术的应用场景非常广泛:

  • 网络故障排查:当网络出现连接中断、延迟过高、数据丢失等问题时,通过抓包可以查看数据包的传输情况,分析是否存在错误的数据包、重复的数据包或者数据包丢失的情况,从而找出故障的原因。例如,如果发现大量的重传数据包,可能意味着网络存在拥塞或者链路不稳定的问题。
  • 性能优化:通过抓包分析,可以了解网络中各个应用程序的数据流量分布、数据包大小、传输时间等信息,从而发现性能瓶颈,并针对性地进行优化。比如,发现某个应用程序发送的数据包过大,导致传输效率低下,可以对其进行数据压缩或分包处理。
  • 安全监测:可以检测到潜在的网络攻击、恶意软件通信等异常活动。例如,检测到来自未知源的大量扫描数据包,可能是在进行网络探测攻击;或者发现数据包中包含可疑的代码或指令,可能是恶意软件在通信。
  • 协议分析与开发:对于开发新的网络协议或对现有协议进行改进,抓包技术能够帮助开发者获取真实的网络数据,分析协议的执行情况,验证协议的正确性和性能。

一、科来网络分析工具

科来网络分析系统是一款功能强大的网络分析工具,该系统适用于网络故障分析、数字安全取证、协议分析学习等场景,能帮助网络管理者快速查找和排除网络故障,找到网络瓶颈以提升网络性能,发现和解决各种网络异常危机以提高安全性,管理资源并统计和记录每个节点的流量与带宽,规范网络并查看各种应用、服务、主机的连接,监视网络活动以及分析各种网络协议、管理网络应用质量等。

具有以下特点和功能:

特点

  • 无需复杂部署,可安装在随行电脑中使用,能灵活、高效地帮助用户解决网络性能与安全方面的实际问题。
  • 整合了行业领先的专家分析技术,对复杂网络提供精确分析,在网络安全、性能、故障等方面提供全面深入的数据依据。

功能

  • 故障诊断:自动诊断多种网络故障,自动定位故障点,分析故障原因并推荐解决方法。
  • 流量分析:提供丰富的流量分析数据,可对整个网络、单个部门、单个 VLAN、单个 IP 和单个 MAC 进行统计分析。
  • 网络连接和通讯监视:直观反映网络中机器的连接情况,实时监视网络活动。
  • 网络异常分析:自动发现网络隐患,如自动检测网络中的蠕虫病毒、木马攻击等。
  • 快速定位:能够快速精确定位网络故障,并提供相应解决方案。
  • 安全预警:自动发现网络扫描,进行安全预警;定位攻击源,快速找到攻击者。
  • 性能评估:有效评估网络性能,查找网络瓶颈,保障网络通讯质量和网络运营健康。
  • 智能监测:可视化呈现网络应用/业务性能的运行情况。
  • 协议分析:支持对众多网络协议的分析。
  • 数据包分析:实时捕获、解码和分析数据包,时间精度达到微秒级,还可支持多种数据包文件格式并进行分析。可通过自定义协议,根据实际情况按以太网类型、IP 协议编号、TCP/UDP 等类型字段进行协议自定义。
  • 提供分析方案 :例如高精度分析方案、高性能分析方案、邮件分析方案、HTTP 分析方案、DNS 分析方案、FTP 分析方案、TCP 分析方案等,以满足不同网络管理者的个性化需求。

    选择正在通信的网卡,点开始进入详细页面:

二、Wireshark工具

Wireshark 是一款非常流行的网络封包分析工具,它能够截取各种网络数据包,并尽可能详细地显示数据包信息。
其主要特点和功能包括:

**详细的数据包信息展示:**可以显示数据包的编号、时间戳、源地址、目标地址、协议、长度以及数据包的具体内容等。

**多种协议解析:**几乎能解析所有的网络协议,从底层的数据链路层报文到上层的网络包及应用层的 HTTP 等。

**过滤器设置:**自带两种类型的过滤器,帮助在大量数据中迅速找到需要的信息。

**抓包过滤器:**用于在抓取数据包前设置,例如按协议、IP、端口等进行过滤。

**显示过滤器:**在抓取数据包后使用,可设置更具体的过滤条件来分析数据包。

应用广泛:适用于网络管理员检查网络问题、网络安全工程师检查资讯安全相关问题、软件测试工程师分析测试软件、开发人员为新的通讯协议除错以及普通用户学习网络协议知识等。

Wireshark 的使用步骤大致如下:

软件安装:从 wireshark 官网下载对应系统版本的软件并安装。如果是 win10 系统且安装后不显示网卡,需下载 win10pcap 兼容性安装包。

选择网卡:打开软件后,选择要进行抓包的网卡。

开始抓包:右键点击选定的网卡,选择"start capture"(开始捕获),然后执行需要抓包的操作。

过滤数据包:为避免无用数据包的干扰,可在过滤栏设置过滤条件,对数据包列表进行过滤。

分析数据包:在数据包列表中选择指定数据包,在数据包详细信息中查看数据包的所有详细内容,包括物理层、数据链路层、互联网层、传输层等各层协议的信息。

过滤器表达式有一定的规则,例如抓包过滤器的语法包含类型(如 host、net、port)、方向(如 src、dst)、协议(如 ether、ip、tcp、udp 等)以及逻辑运算符(如&&与、||或、!非)。显示过滤器也有相应的语法和实例,如比较操作符(==等于、!=不等于、>大于等)以及各种过滤条件的写法。

例如,常见的过滤表达式有:

  • ip.addr == 192.168.1.104:显示源地址或目标地址为 192.168.1.104 的数据包列表。
  • ip.src == 192.168.1.104:获取来源地址为 192.168.1.104 的数据包。
  • ip.dst == 119.167.140.103:获取目的地址为 119.167.140.103 的数据包。
  • ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45:获取目的地址为 119.167.140.103 或者 192.168.2.45 的数据包。
  • ip.dst == 119.167.140.103 and ip.src == 192.168.2.101:获取目的地址为 119.167.140.103 且来源地址为 192.168.2.101 的数据包。

Wireshark 的界面主要分为几个部分:

菜单栏:包含各种功能选项。

工具栏:提供常用功能的快捷图标按钮。

过滤器:用于设置过滤条件。

数据包列表(packet list pane):以表格形式显示捕获到的数据包的摘要信息,包括编号、时间截、源地址、目标地址、协议、长度和概况信息等。不同协议的数据包会以不同颜色区分显示。

数据包详细信息(packet details pane):展示选定数据包的详细内容,分层显示数据包中各层协议的字段信息。

数据包字节区(dissector pane):以十六进制和 ASCII 码的形式显示数据包的原始内容。

三、封包监听工具

封包监听工具是用于截取和分析网络中传输的数据包的软件。通过封包监听,用户可以查看数据包的详细内容,了解网络通信的情况,并可能对特定的数据包进行重复发送或修改等操作。

配置只显示模拟器的进程

抓包的目的分析

1.渗透测试

抓包得到应用的资产信息,比如IP、端口信息;

通过IP扫描其他资产,比如各种开发的端口、API接口、oss资源、云服务器;

根据信息做进一步的渗透。

2.逆向破解

反编译源码中查找相关资产信息;

源码中泄露的配置信息,如key;

分析设计的逻辑安全:不规范的加密、可绕过的策略、删除策略重新打包;

相关推荐
Mephisto.java17 分钟前
【大数据学习 | kafka高级部分】kafka中的选举机制
大数据·学习·kafka
南宫生1 小时前
贪心算法习题其三【力扣】【算法学习day.20】
java·数据结构·学习·算法·leetcode·贪心算法
长弓三石1 小时前
鸿蒙网络编程系列44-仓颉版HttpRequest上传文件示例
前端·网络·华为·harmonyos·鸿蒙
xianwu5431 小时前
反向代理模块
linux·开发语言·网络·git
follycat1 小时前
[极客大挑战 2019]HTTP 1
网络·网络协议·http·网络安全
武子康2 小时前
大数据-212 数据挖掘 机器学习理论 - 无监督学习算法 KMeans 基本原理 簇内误差平方和
大数据·人工智能·学习·算法·机器学习·数据挖掘
xiaoxiongip6662 小时前
HTTP 和 HTTPS
网络·爬虫·网络协议·tcp/ip·http·https·ip
JaneJiazhao2 小时前
HTTPSOK:智能SSL证书管理的新选择
网络·网络协议·ssl
CXDNW2 小时前
【网络面试篇】HTTP(2)(笔记)——http、https、http1.1、http2.0
网络·笔记·http·面试·https·http2.0
使者大牙2 小时前
【大语言模型学习笔记】第一篇:LLM大规模语言模型介绍
笔记·学习·语言模型