网络抓包技术是一种用于捕获和分析网络数据包的技术手段。它能够帮助我们深入了解网络中的数据传输情况,对于网络故障排查、性能优化、安全监测等方面都具有重要意义。
网络抓包的工作原理通常是通过将网络接口设置为混杂模式,使其能够接收流经该接口的所有数据包。然后,使用专门的抓包软件或工具对这些数据包进行捕获和存储。
常见的网络抓包工具除了前面提到的 Wireshark 之外,还有 Tcpdump、Fiddler 等,国内的主要有科来网络。
为了方便大家使用,作者收集到百度网盘分享学习。
链接:https://pan.baidu.com/s/1uKUsQfIlWOxTNPvU8DewKQ?pwd=mf7v
提取码:mf7v
网络抓包技术的应用场景非常广泛:
- 网络故障排查:当网络出现连接中断、延迟过高、数据丢失等问题时,通过抓包可以查看数据包的传输情况,分析是否存在错误的数据包、重复的数据包或者数据包丢失的情况,从而找出故障的原因。例如,如果发现大量的重传数据包,可能意味着网络存在拥塞或者链路不稳定的问题。
- 性能优化:通过抓包分析,可以了解网络中各个应用程序的数据流量分布、数据包大小、传输时间等信息,从而发现性能瓶颈,并针对性地进行优化。比如,发现某个应用程序发送的数据包过大,导致传输效率低下,可以对其进行数据压缩或分包处理。
- 安全监测:可以检测到潜在的网络攻击、恶意软件通信等异常活动。例如,检测到来自未知源的大量扫描数据包,可能是在进行网络探测攻击;或者发现数据包中包含可疑的代码或指令,可能是恶意软件在通信。
- 协议分析与开发:对于开发新的网络协议或对现有协议进行改进,抓包技术能够帮助开发者获取真实的网络数据,分析协议的执行情况,验证协议的正确性和性能。
一、科来网络分析工具
科来网络分析系统是一款功能强大的网络分析工具,该系统适用于网络故障分析、数字安全取证、协议分析学习等场景,能帮助网络管理者快速查找和排除网络故障,找到网络瓶颈以提升网络性能,发现和解决各种网络异常危机以提高安全性,管理资源并统计和记录每个节点的流量与带宽,规范网络并查看各种应用、服务、主机的连接,监视网络活动以及分析各种网络协议、管理网络应用质量等。
具有以下特点和功能:
特点:
- 无需复杂部署,可安装在随行电脑中使用,能灵活、高效地帮助用户解决网络性能与安全方面的实际问题。
- 整合了行业领先的专家分析技术,对复杂网络提供精确分析,在网络安全、性能、故障等方面提供全面深入的数据依据。
功能:
- 故障诊断:自动诊断多种网络故障,自动定位故障点,分析故障原因并推荐解决方法。
- 流量分析:提供丰富的流量分析数据,可对整个网络、单个部门、单个 VLAN、单个 IP 和单个 MAC 进行统计分析。
- 网络连接和通讯监视:直观反映网络中机器的连接情况,实时监视网络活动。
- 网络异常分析:自动发现网络隐患,如自动检测网络中的蠕虫病毒、木马攻击等。
- 快速定位:能够快速精确定位网络故障,并提供相应解决方案。
- 安全预警:自动发现网络扫描,进行安全预警;定位攻击源,快速找到攻击者。
- 性能评估:有效评估网络性能,查找网络瓶颈,保障网络通讯质量和网络运营健康。
- 智能监测:可视化呈现网络应用/业务性能的运行情况。
- 协议分析:支持对众多网络协议的分析。
- 数据包分析:实时捕获、解码和分析数据包,时间精度达到微秒级,还可支持多种数据包文件格式并进行分析。可通过自定义协议,根据实际情况按以太网类型、IP 协议编号、TCP/UDP 等类型字段进行协议自定义。
- 提供分析方案:例如高精度分析方案、高性能分析方案、邮件分析方案、HTTP 分析方案、DNS 分析方案、FTP 分析方案、TCP 分析方案等,以满足不同网络管理者的个性化需求。
选择正在通信的网卡,点开始进入详细页面:
二、Wireshark工具
Wireshark 是一款非常流行的网络封包分析工具,它能够截取各种网络数据包,并尽可能详细地显示数据包信息。
其主要特点和功能包括:
**详细的数据包信息展示:**可以显示数据包的编号、时间戳、源地址、目标地址、协议、长度以及数据包的具体内容等。
**多种协议解析:**几乎能解析所有的网络协议,从底层的数据链路层报文到上层的网络包及应用层的 HTTP 等。
**过滤器设置:**自带两种类型的过滤器,帮助在大量数据中迅速找到需要的信息。
**抓包过滤器:**用于在抓取数据包前设置,例如按协议、IP、端口等进行过滤。
**显示过滤器:**在抓取数据包后使用,可设置更具体的过滤条件来分析数据包。
应用广泛:适用于网络管理员检查网络问题、网络安全工程师检查资讯安全相关问题、软件测试工程师分析测试软件、开发人员为新的通讯协议除错以及普通用户学习网络协议知识等。
Wireshark 的使用步骤大致如下:
软件安装:从 wireshark 官网下载对应系统版本的软件并安装。如果是 win10 系统且安装后不显示网卡,需下载 win10pcap 兼容性安装包。
选择网卡:打开软件后,选择要进行抓包的网卡。
开始抓包:右键点击选定的网卡,选择“start capture”(开始捕获),然后执行需要抓包的操作。
过滤数据包:为避免无用数据包的干扰,可在过滤栏设置过滤条件,对数据包列表进行过滤。
分析数据包:在数据包列表中选择指定数据包,在数据包详细信息中查看数据包的所有详细内容,包括物理层、数据链路层、互联网层、传输层等各层协议的信息。
过滤器表达式有一定的规则,例如抓包过滤器的语法包含类型(如 host、net、port)、方向(如 src、dst)、协议(如 ether、ip、tcp、udp 等)以及逻辑运算符(如&&与、||或、!非)。显示过滤器也有相应的语法和实例,如比较操作符(==等于、!=不等于、>大于等)以及各种过滤条件的写法。
例如,常见的过滤表达式有:
- ip.addr == 192.168.1.104:显示源地址或目标地址为 192.168.1.104 的数据包列表。
- ip.src == 192.168.1.104:获取来源地址为 192.168.1.104 的数据包。
- ip.dst == 119.167.140.103:获取目的地址为 119.167.140.103 的数据包。
- ip.dst == 119.167.140.103 or ip.dst == 192.168.2.45:获取目的地址为 119.167.140.103 或者 192.168.2.45 的数据包。
- ip.dst == 119.167.140.103 and ip.src == 192.168.2.101:获取目的地址为 119.167.140.103 且来源地址为 192.168.2.101 的数据包。
Wireshark 的界面主要分为几个部分:
菜单栏:包含各种功能选项。
工具栏:提供常用功能的快捷图标按钮。
过滤器:用于设置过滤条件。
数据包列表(packet list pane):以表格形式显示捕获到的数据包的摘要信息,包括编号、时间截、源地址、目标地址、协议、长度和概况信息等。不同协议的数据包会以不同颜色区分显示。
数据包详细信息(packet details pane):展示选定数据包的详细内容,分层显示数据包中各层协议的字段信息。
数据包字节区(dissector pane):以十六进制和 ASCII 码的形式显示数据包的原始内容。
三、封包监听工具
封包监听工具是用于截取和分析网络中传输的数据包的软件。通过封包监听,用户可以查看数据包的详细内容,了解网络通信的情况,并可能对特定的数据包进行重复发送或修改等操作。
配置只显示模拟器的进程
抓包的目的分析
1.渗透测试
抓包得到应用的资产信息,比如IP、端口信息;
通过IP扫描其他资产,比如各种开发的端口、API接口、oss资源、云服务器;
根据信息做进一步的渗透。
2.逆向破解
反编译源码中查找相关资产信息;
源码中泄露的配置信息,如key;
分析设计的逻辑安全:不规范的加密、可绕过的策略、删除策略重新打包;