網(wǎng)絡(luò)工程技術(shù)：二、Sniffer的應(yīng)用技術(shù)

2022年11月12日1計(jì)算機(jī)與信息工程學(xué)院二、Sniffer的應(yīng)用技術(shù)

1、Sniffer基本原理與設(shè)置2、Wireshark抓包工具使用與案例2022年11月12日2計(jì)算機(jī)與信息工程學(xué)院回顧

1、舉例說明共享式網(wǎng)絡(luò)特點(diǎn)？2、以太網(wǎng)的中心結(jié)點(diǎn)設(shè)備?2022年11月12日3計(jì)算機(jī)與信息工程學(xué)院1、Sniffer基本原理與設(shè)置網(wǎng)卡接收模式(1)廣播方式(2)組播方式(3)直接方式(4)混雜(Promiscuous)模式：能夠接收通過它的一切數(shù)據(jù)，而不管該數(shù)據(jù)是否是傳給它的。2022年11月12日4計(jì)算機(jī)與信息工程學(xué)院嗅探(Sniffer)原理將本地NIC工作狀態(tài)設(shè)成混雜模式，通過軟件或硬件捕捉與其連接的物理媒體上傳輸?shù)乃袛?shù)據(jù)常見的Sniffer軟件有Wireshark、SnifferPro、TCPdump等。2022年11月12日5計(jì)算機(jī)與信息工程學(xué)院Sniffer的應(yīng)用Sniffer一般用于分析網(wǎng)絡(luò)的數(shù)據(jù)，以便找出網(wǎng)絡(luò)中存在的所關(guān)心的潛在問題。sniffer安全攻擊

口令：sniffer可以記錄到明文傳送的userid和passwd.關(guān)于加密的數(shù)據(jù)金融帳號：sniffer可以很輕松截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和pin（密碼鎖）2022年11月12日6計(jì)算機(jī)與信息工程學(xué)院Sniffer的應(yīng)用sniffer安全攻擊偷窺機(jī)密或敏感的信息數(shù)據(jù)窺探底層的協(xié)議信息：對底層的信息協(xié)議記錄比如記錄兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址、遠(yuǎn)程網(wǎng)絡(luò)接口ip地址、ip路由信息和tcp連接的字節(jié)順序號碼等例如：ip地址欺詐就要求你準(zhǔn)確插入tcp連接的字節(jié)順序號2022年11月12日7計(jì)算機(jī)與信息工程學(xué)院Sniffer軟件的部署在共享式網(wǎng)絡(luò)中Sniffer軟件的部署非常簡單，只需要將它安置在你需要的網(wǎng)段中任意位置即可。在交換環(huán)境下

SPAN（SwitchPortAnalysis）：端口鏡像2022年11月12日8計(jì)算機(jī)與信息工程學(xué)院Sniffer軟件的部署2022年11月12日9計(jì)算機(jī)與信息工程學(xué)院2、Wireshark抓包工具使用與案例Wireshark簡介Wireshark常用功能抓包，停止抓包保存抓包設(shè)置抓包選項(xiàng)捕捉過濾器顯示過濾器FollowTCPStream實(shí)際應(yīng)用案例2022年11月12日10計(jì)算機(jī)與信息工程學(xué)院Wireshark簡介網(wǎng)絡(luò)抓包分析工具可實(shí)時(shí)捕捉多種網(wǎng)絡(luò)接口支持其他程序抓包保存文件，例如TCPDump開源軟件支持UNIX和Windows平臺(tái)2022年11月12日11計(jì)算機(jī)與信息工程學(xué)院Wireshark簡介發(fā)展簡史：1998年由GeraldCombs完成第一個(gè)Ethereal(Wireshark前身)版本的開發(fā)。此后不久，GilbertRamirez發(fā)現(xiàn)它的潛力，并為其提供了底層分析1998年10月，GuyHarris正尋找一種比TcpView更好的工具，他開始為Ethereal進(jìn)行改進(jìn)，并提供分析。2022年11月12日12計(jì)算機(jī)與信息工程學(xué)院Wireshark簡介1998年以后，正在進(jìn)行TCP/IP教學(xué)的RichardSharpe關(guān)注了它在這些課程中的作用。并開始研究該軟件是否他所需要的協(xié)議。如果不行，新協(xié)議支持應(yīng)該很方便被添加。所以他開始從事Ethereal的分析及改進(jìn)。從那以后，幫助Ethereal的人越來越多，他們的開始幾乎都是由于一些尚不被Ethereal支持的協(xié)議。所以他們拷貝了已有的解析器，并為團(tuán)隊(duì)提供了改進(jìn)回饋2006年重新命名為Wireshark2022年11月12日13計(jì)算機(jī)與信息工程學(xué)院Wireshark簡介支持的系統(tǒng)：WindowsAPPleMacOSXDebianGNU/LinuxFreeBSDNetBSDOpenPKGRedHatFedora/EnterpriseLinux……2022年11月12日14計(jì)算機(jī)與信息工程學(xué)院Wireshark簡介官方網(wǎng)站：/維基網(wǎng)站地址：/中文用戶手冊：/content/network/wireshark/index.html2022年11月12日15計(jì)算機(jī)與信息工程學(xué)院Wireshark簡介主界面2022年11月12日16計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能

可通過Capture菜單中的Interfaces打開網(wǎng)卡列表，然后點(diǎn)擊網(wǎng)卡右邊的“Start”按鈕開始抓包?；蛘邌螕艄ぞ邫诘牡谝粋€(gè)按鈕，和單擊Capture->Interfaces的效果一樣。2022年11月12日17計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能

開始抓包后，Wireshark的主界面中會(huì)以不同的顏色顯示抓取到的不同的數(shù)據(jù)包。

如果要停止抓包，可通過工具欄中的Stop按鈕，或者Capture->Stop菜單項(xiàng)停止抓包。2022年11月12日18計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能

停止抓包后我們可以將抓取到的數(shù)據(jù)包保存到文件供日后分析使用。

可通過菜單File->Save(SaveAs)

或者工具欄上的保存按鈕。2022年11月12日19計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能抓包模式

在開始抓包之前還可修改Wireshark的抓包選項(xiàng)。通過工具欄或者菜單Capture->Options打開抓包選項(xiàng)設(shè)置界面。

這里可以設(shè)置很多選項(xiàng)，我們這里介紹一下混雜模式和非混雜模式?；祀s模式：抓取經(jīng)過網(wǎng)卡的所有數(shù)據(jù)包，包括發(fā)往本網(wǎng)卡和非發(fā)往本網(wǎng)卡的。非混雜模式：只抓取目標(biāo)地址是本網(wǎng)卡的數(shù)據(jù)包，對于發(fā)往別的主機(jī)而經(jīng)過本網(wǎng)卡的數(shù)據(jù)包忽略。

如左圖中顯示的是混雜模式2022年11月12日20計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能

由于Wireshark是將抓包數(shù)據(jù)保存在內(nèi)存當(dāng)中，當(dāng)抓包時(shí)間比較長，抓的包比較多時(shí)可能出現(xiàn)內(nèi)存不夠用的情況。此時(shí)我們設(shè)置使用多個(gè)文件保存抓包數(shù)據(jù)就可避免這種情況。

多個(gè)文件保存的方式可以是每隔多久保存一個(gè)文件，也可以是限制每個(gè)文件保存的大小，同時(shí)也可以設(shè)置限制文件個(gè)數(shù)。

默認(rèn)情況下Wireshark是只使用一個(gè)臨時(shí)文件來保存抓包數(shù)據(jù)的。多文件自動(dòng)保存抓包數(shù)據(jù)2022年11月12日21計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能自動(dòng)停止抓包

在無人值守情況下，我們可設(shè)置在某些條件下自動(dòng)停止抓包。這些條件可以是：

抓到多少包之后；

抓到多大數(shù)據(jù)量之后(存儲(chǔ)容量)；

抓取多少分鐘之后

2022年11月12日22計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能過濾器

在Wireshark中有兩種過濾器。捕捉過濾器：在抓包之前設(shè)置，讓W(xué)ireshark只抓取過濾器指定的包。顯示過濾器：在抓包之前或者完成抓包之后都可，不影響抓包，只是方便查看。

2022年11月12日23計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能捕捉過濾器例子：[src|dst]host<host>主機(jī)過濾srchost59捕捉源IP地址是59的包。dsthost59捕捉目標(biāo)IP地址是59的包。host59捕捉源IP或者目標(biāo)IP是59的包。

[tcp|udp][src|dst]port<port>端口過濾host59andtcpport9990捕捉源/目標(biāo)IP地址是59，源/目標(biāo)端口是TCP9990端口的數(shù)據(jù)包。

2022年11月12日24計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能Protocol（協(xié)議）:

可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.

如果沒有特別指明是什么協(xié)議，則默認(rèn)使用所有支持的協(xié)議。

Direction（方向）:

可能的值:src,dst,srcanddst,srcordst

如果沒有特別指明來源或目的地，則默認(rèn)使用“srcordst”作為關(guān)鍵字。

例如，”host″與”srcordsthost″是一樣的。捕捉過濾器2022年11月12日25計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能Host(s):

可能的值：

net,port,host,portrange.

如果沒有指定此值，則默認(rèn)使用“host”關(guān)鍵字。

例如，src與srchost相同。

LogicalOperations（邏輯運(yùn)算）:

可能的值：not,and,or.

否(“not”)具有最高的優(yōu)先級?；?“or”)和與(“and”)具有相同的優(yōu)先級，運(yùn)算時(shí)從左至右進(jìn)行。

例如，

“nottcpport3128andtcpport23″與”(nottcpport3128)andtcpport23″相同。

“nottcpport3128andtcpport23″與”not(tcpport3128andtcpport23)”不同。捕捉過濾器2022年11月12日26計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能顯示過濾器例子：http顯示TCP80端口的http包。tcp.port==9990顯示tcp端口是9990的包。tcp.flags.reset==1顯示tcp標(biāo)志字段中reset標(biāo)志為1的包。tcp.port==80ortcp.port==9990顯示端口是80或者9990的包顯示過濾器2022年11月12日27計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能Protocol（協(xié)議）:

可以使用大量位于OSI模型第2至7層的協(xié)議。點(diǎn)擊“Expression…”按鈕后，可以看到它們。

比如：IP，TCP，DNS，SSH。String1,String2(可選項(xiàng)):

協(xié)議的子類。

點(diǎn)擊相關(guān)父類旁的“+”號，然后選擇其子類。顯示過濾器2022年11月12日28計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能Comparisonoperators（比較運(yùn)算符）例如：tcp.port==9990過濾顯示TCP端口是9990的數(shù)據(jù)包。Tcp.seqeq115過濾顯示序列號為115的數(shù)據(jù)包。……2022年11月12日29計(jì)算機(jī)與信息工程學(xué)院

Wireshark常用功能Logicale-xpressions（邏輯運(yùn)算符）例如：tcp.port==9990ortcp.port==9991過濾顯示TCP端口是9990或者9991的包。!(ip.src==36)過濾顯示源IP地址不是36的數(shù)據(jù)包?！?022年11月12日30計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能

如果是在抓取和分析基于TCP協(xié)議的包，從應(yīng)用層的角度查看TCP流的內(nèi)容有時(shí)是非常有用的。要查看TCP流的內(nèi)容，只需要選中其中的任意一個(gè)TCP包，選擇右鍵菜單中的“Followtcpstream”即可。FollowTCPStream2022年11月12日31計(jì)算機(jī)與信息工程學(xué)院Wireshark常用功能

這里有一個(gè)技巧可以比較簡單方便的查看到每一個(gè)TCP連接流的內(nèi)容：一.我們通過顯示過濾器tcp.flags.syn==1andtcp.flags.ack!=1將所抓包的建立每個(gè)TCP連接的第一個(gè)包給過濾出來。二.在每個(gè)單獨(dú)的包上面執(zhí)行“FollowTCPStream”。三.回到顯示過濾器重新選擇第一步中的過濾器，再對其他的包執(zhí)行第二步。FollowTCPStream2022年11月12日32計(jì)算機(jī)與信息工程學(xué)院實(shí)際應(yīng)用案例2010年底到2011年初一段時(shí)間公司組織客戶端，服務(wù)端，運(yùn)維等對網(wǎng)盤上傳失敗率較高的原因進(jìn)行了深入調(diào)查分析，找出了很多網(wǎng)絡(luò)和程序上的問題，這個(gè)是其中的一個(gè)案例。問題現(xiàn)象：彩訊深圳辦公室的網(wǎng)盤或者超大附件采用控件上傳經(jīng)常在中途失敗。彩訊深圳辦公室內(nèi)網(wǎng)深信服防火墻阻斷分布式上傳的案例2022年11月12日33計(jì)算機(jī)與信息工程學(xué)院實(shí)際應(yīng)用案例調(diào)查分析的大致過程是：1抓包發(fā)現(xiàn)在上傳失敗時(shí)，有較多RST包關(guān)閉連接，RST包是TCP標(biāo)志位reset志為1的包。以下幾種情況可能導(dǎo)致出現(xiàn)RST包：（1）.connect一個(gè)不存在的端口。

（2）.send一個(gè)已經(jīng)關(guān)掉的連接。

（3）.采用shutdown立即關(guān)閉一個(gè)已經(jīng)建立的連接。顯然現(xiàn)在屬于第三中情況，而且RST包的源IP地址都是服務(wù)器的IP地址，說明是“服務(wù)器”主動(dòng)關(guān)閉連接。2022年11月12日34計(jì)算機(jī)與信息工程學(xué)院實(shí)際應(yīng)用案例2查看服務(wù)器端的日志及抓包看什么原因?qū)е缕潢P(guān)閉連接，發(fā)現(xiàn)服務(wù)器并沒有主動(dòng)關(guān)閉連接。3倒回來對客戶端的抓包進(jìn)一步進(jìn)行分析，對RST包的IP層的TTL進(jìn)行對比發(fā)現(xiàn)其TTL值為127，而其他從服務(wù)器發(fā)過來的正常包的TTL值是117，明顯大很多，說明其經(jīng)過的路由器跳轉(zhuǎn)少很多，而如果服務(wù)器的