WireShark网络分析~部署方式

news2024/11/24 2:19:32

一、《Wireshark网络分析就这么简单》 第一章学习

声明:文章只限于网络学习和实验,请遵守《网络安全法》。

第一章问题一:两台服务器A和B的网络配置如下(见图1),B的子网掩码本应该是255.255.255.0,被不小心配成了255.255.255.224。它们还能正常通信吗?

1.搭建网络拓扑


 

2.配置IP地址、子网掩码和网关;

服务A配置信息如下

服务B配置信息如下:

3.重点:路由配置代码如下:
#进入试图模式
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
#进入主机R1,同时起名为R1
[Huawei]sys R1
#给0/0/0接口设置IP地址和掩码
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.26.2 24
#开启路由0/0/0的接口
[R1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.

#查看配置的路由接口是否开启
[R1-GigabitEthernet0/0/0]display interface brief
PHY: Physical
*down: administratively down
(l): loopback
(s): spoofing
(b): BFD down
^down: standby
(e): ETHOAM down
(d): Dampening Suppressed
InUti/OutUti: input utility/output utility
Interface                   PHY   Protocol InUti OutUti   inErrors  outErrors
GigabitEthernet0/0/0        up    up          0%     0%          0          0
GigabitEthernet0/0/1        down  down        0%     0%          0          0
GigabitEthernet0/0/2        down  down        0%     0%          0          0
NULL0                       up    up(s)       0%     0%          0          0


#查看路由表,发现路由配置没有问题
[R1-GigabitEthernet0/0/0]display ip routing-table 
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
         Destinations : 7        Routes : 7        

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

      127.0.0.0/8   Direct  0    0           D   127.0.0.1       InLoopBack0
      127.0.0.1/32  Direct  0    0           D   127.0.0.1       InLoopBack0
127.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0
   192.168.26.0/24  Direct  0    0           D   192.168.26.2    GigabitEthernet
0/0/0
   192.168.26.2/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
0/0/0
 192.168.26.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet
0/0/0
255.255.255.255/32  Direct  0    0           D   127.0.0.1       InLoopBack0


4.查看环境是否配置成功

发现ping可以成功,说明子网掩码修改为255.255.255.254可以通信

二、 《Wireshark网络分析就这么简单》 第一章第一题 抓包学习

1.服务器B 直接ping 服务器A ;采用大鲨鱼抓包

12行分析需如下:

        服务B通过ARP广播查询默认网关192.168.26.2的MAC地址。为什么我ping的是服务器A的IP,B却去查询默认网关的MAC地址呢?这是因为B根据自己的子网掩码,计算出A属于不同子网,跨子网通信需要默认网关的转发。而要和默认网关通信,就需要获得其MAC地址。

第13行,2号包如下:

        默认网关是192.168.26.2向服务B回复了自己的MAC地址。为什么这些MAC地址的开头明明是00:e0:fc 和 54:89:98 ,WireShark上显示出来却都是HuaweiTe_?这是因为MAC地址的前3个字节表示厂商。而00:e0:fc 和 54:89:98都被分配给Huawei公司。这是全球统一的标准,所以Wireshark干脆显示出厂商名了。

第十四行,3号包如下:

 

        B发出ping包,指定Destination IP 为A,即192.168.26.129.但Destination MAC却是默认网关的(00:e0:fc:26:7b:1e)。这表明服务B希望网关把包转发给A。至于默认网关有没有转发,我们目前无从得知,除非在网关上抓个包。

4号包如下:

          服务B收到A发出的APP广播,这个广播查询的是B的MAC地址。这是因为在A看来,B属于相同子网,同子网通信无需默认网关的参与,只要通过ARP获得对方MAC地址就行了。这个包也表明默认网关成功地把B发出的ping请求转发给A了,否则A不会无缘无故尝试和B通信。

第5包如下

       

         服务B回复了A的ARP请求,把自己的MAC地址告诉A。这说明B在执行ARP回复时并不考虑子网。虽然ARP请求来自其他子网的IP,但也照样回复。

第6包如下:

 

 服务B终于收到了服务A的ping回复。从MAC地址(54:89:98:2c:46:6f)可以看出,这个包是从A直接过来的,而不是通过默认网关的转发。

第7、8、9、10包如下:

 

        都是重复的ping请求和ping回复。因为A和B都已经知道对方的联系方式,所以就没必要再发ARP了。

2.重点总结:

        分析完这几个包,答案出来了。原来通信过程是这样的:B先把Ping请求交给默认网关,默认网关再转发给A。而A收到请求后直接把Ping回复给B,形成三角环路。

        1、服务B --ping请求-->  网关;

        2、网关 --ping请求-->  服务A;

        3、服务A--ping请求-->服务A;

3.分享文件

1.大鲨鱼抓服务B ping 服务A.pcapng 日志

2.eNSP实验环境备份

三、Wireshark远程数据包捕获

背景:开启远程桌面,rdp服务,再系统中安装wrieshark进行抓包分析;缺点是在远程登录的过程中,都会产生无关与目的远程连接数据流量。

wireShark远程抓包软件配置:

        服务器安装winpacap中的rpcapd程序;

        客户端安装wireshark连接服务端。

 

四、Wireshark虚拟机数据包捕获

选中指定网卡进行流量嗅探;域网嗅探同一网段的主机;

案例演示:

        使用netdiscover  -r  CIDR 发现局域网主机,同时利用wireshark捕获虚拟机的流量。

(一)打开大鲨鱼,选中虚拟网络8

(二)打开虚拟机Kali系统,查看本地网络

# ifconfig                  
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.0.0.129  netmask 255.255.255.0  broadcast 10.0.0.255
        ether 00:0c:29:78:c5:9d  txqueuelen 1000  (Ethernet)
        RX packets 6831  bytes 673696 (657.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 61612  bytes 4345612 (4.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.46.129  netmask 255.255.255.0  broadcast 192.168.46.255
        inet6 fe80::20c:29ff:fe78:c5b1  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:78:c5:b1  txqueuelen 1000  (Ethernet)
        RX packets 600  bytes 109609 (107.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 554  bytes 83036 (81.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth2: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.56.101  netmask 255.255.255.0  broadcast 192.168.56.255
        ether 00:0c:29:78:c5:a7  txqueuelen 1000  (Ethernet)
        RX packets 6395  bytes 511414 (499.4 KiB)
        RX errors 0  dropped 182  overruns 0  frame 0
        TX packets 1915  bytes 185256 (180.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

(三)选中一个网卡,扫描同一局域网,进行流量嗅探

┌──(root㉿kalich)-[~]
└─# netdiscover -r 10.0.0.1/24

 (四)查看大鲨鱼抓包数据包,同时kali的的扫描结果

 

六、Wireshark ARP欺骗数据包捕获)

案例演示

        在Kali linux中完成ARP欺骗,开启wireshark抓取本地数据包。

虚拟机主机01IP:10.0.0.111

虚拟机主机02IP:10.0.0.128

主机10.0.0.128:执行命令:

arpspoof [-i 指定使用的网卡]  [-t 要欺骗的主机] [-r 要伪装成的主机]
# arpspoof -i eth1 -t 10.0.0.111 -r 10.0.0.1

主机10.0.0.111的目标地址是10.0.0.1,通过ARP欺骗可以捕获10.0.0.111主机的请求数据。

后续更新,ARP欺骗防御措施!
 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2082868.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

LeetCode 热题100-37 二叉树的最大深度

二叉树的最大深度 给定一个二叉树 root &#xff0c;返回其最大深度。 二叉树的 最大深度 是指从根节点到最远叶子节点的最长路径上的节点数。 示例 1&#xff1a; 输入&#xff1a;root [3,9,20,null,null,15,7] 输出&#xff1a;3示例 2&#xff1a; 输入&#xff1a;ro…

py 可视化图层

五张图&#xff1a;数据资源可联系1493175691qq.com import numpy as np import matplotlib.pyplot as plt from cartopy.mpl.ticker import LongitudeFormatter, LatitudeFormatter import cartopy.crs as ccrs import cartopy.feature as cfeature from cartopy.io.shaperead…

长亭雷池 WAF 部署及使用过程中遇到的问题

1、安装过程中遇到的问题 这里推荐使用官方的脚本命令&#xff0c;大概看了一下是先判断是否有容器&#xff0c;如果没有容器环境就安装&#xff0c;但是这一步就报错了。这里需要更换成阿里云或是国内其它的源来安装。 bash -c "$(curl -fsSLk https://waf-ce.chaitin.…

黑神话悟空丨资源合集,光追配置+修改器+各种奇奇怪怪的MOD

国产3A大作 黑神话悟空 推出了一些奇奇怪怪的mod(非官方)&#xff0c;作为一款备受瞩目的单机作品&#xff0c;黑神话悟空 不仅在剧情和画面上表现出色&#xff0c;同时也为玩家提供了丰富的Mod支持。 哈哈哈哈&#xff0c;总是就是奇奇怪怪&#xff0c;悟空被玩坏了&#xff…

unicode编码存在转义字符,导致乱码问题的解决方案

【前言】   本篇是为了记录一次解码出现乱码的解决方案&#xff0c;篇幅较短&#xff0c;废话不多说&#xff0c;请食用 【问题】后端针对一个字符串进行unicode编码后的&#xff0c;前端解码后出现乱码问题 unicode编码后的字符串&#xff0c;直接交给前端解码&#xff0c;…

【搜索引擎】ElasticSearch 8.x版本

1 ElasticSearch 8.x概述 1.1 Elasticsearch 8.X 来了 1.2 Elasticsearch 新特性 1.3 Elasticsearch 课程升级 2 ElasticSearch 安装 & 使用 2.1 Java 17 安装 2.1.1 下载软件 2.1.2 软件升级 2.2 Elasticsearch 安装 & 使用 2.2.1 下载软件 2.2.2 安装软件 2.2.3…

Visio po解版的详细介绍

一、Visio简介 Visio是一款流程图、组织结构图、地平图、工程图等各类专业图表的制作软件。自问世以来&#xff0c;凭借其友好的用户界面、丰富的图形库和强大的编辑功能&#xff0c;已成为行业内使用最广泛的图形设计软件之一。无论是初学者还是专业人士&#xff0c;都能在Vi…

首发!《物流运输行业电子签最佳实践案例集》重磅发布

近日&#xff0c;法大大重磅发布《物流运输行业电子签最佳实践案例集》&#xff0c;旨在分享在物流行业深耕近10年的经验&#xff0c;为物流企业提供基于电子签技术的数字化创新参考。 该案例集精选中原大易、G7易流、河北快运、万联易达、浙江新颜物流、内蒙古多蒙德、天津小…

使用C++封装顺序表

作业&#xff1a;使用C手动封装一个顺序表&#xff0c;包含成员数组一个&#xff0c;成员变量N个 #include <iostream>using namespace std;using datatypeint; #define MAX 20struct SeqList { private: //私有datatype *data;int size0; …

【Node】【7】函数

函数可以作为变量传递 function execute(someFunction, value) {someFunction(value); }execute(function(word){ console.log(word) }, "Hello");函数传递让http服务器工作,向createServer 传递了一个回调函数&#xff0c;该回调函数会在每次接收到 HTTP 请求时被调…

由浅入深学习 C 语言:Hello World【基础篇】

目录 1. 第一个 C 语言程序 2. 源文件 3. 编译程序 3.1 为什么要编译程序 3.2 C 程序编译过程 4. 预处理器指令 5. 头文件 5.1 什么是头文件 5.2 如何使用头文件 6. 注释 7. main 函数 7.1 函数格式 7.2 main 函数特性 8. 语句 9. return 语句 1. 第一个 C 语言程…

Qt QCustomPlot画色阶图

工作中用到QCustomPlot画曲线图和色阶图&#xff0c;并且在色阶图上添加文字&#xff0c;圆圈或者几条线段画一些图形&#xff0c;这里写个简单的例子把这几个功能记录一下&#xff0c;代码在这里&#xff1a; https://download.csdn.net/download/Sakuya__/89681279https://…

ARP(地址解析协议)详解

1. 引言 在计算机网络中&#xff0c;数据链路层使用MAC地址来传输数据&#xff0c;而网络层使用IP地址来标识设备。当一个设备需要发送数据给另一个设备时&#xff0c;它只知道目标设备的IP地址&#xff0c;而不知道其对应的MAC地址。此时&#xff0c;地址解析协议&#xff08;…

MES、ERP、SCM、WMS、APS、SCADA、PLM、QMS、CRM的区别与联系

你是否与我一样&#xff0c;也曾有过类似的疑惑&#xff1a; 企业数字化转型过程中可能会用到哪些系统&#xff1f;其中&#xff0c;又是在哪些情况下才会用到这些系统&#xff1f; 有了这些疑问&#xff0c;你肯定想知道答案。 为了解决你的心头之患&#xff0c;我花了整整…

Linux C创建进程及父子进程虚拟地址空间(附源码)

1.Linux创建进程 Linux允许一个进程创建新进程&#xff0c;新进程即为子进程&#xff0c;子进程还可以创建新的子进程&#xff0c;形成进程树型结构模型。 #include <sys/types.h> #include <unistd.h> pid_t fork(void); 返回值&#xff1a;成功&#xff1a;子进…

npm包下载慢的解决方案(手把手教你跟换yarn和pnpm设置镜像源)

&#x1f3ac; 鸽芷咕&#xff1a;个人主页 &#x1f525; 个人专栏: 《C干货基地》《粉丝福利》 ⛺️生活的理想&#xff0c;就是为了理想的生活! 文章目录 一、npm镜像源二、更换镜像源的步骤1、查看当前镜像源2、改成淘宝镜像源3、删除镜像&#xff0c;恢复默认镜像 三、以…

图森未来创始人之争后续:一场新的争夺战又拉开序幕?

自动驾驶明星公司图森未来&#xff0c;此前陷入一场权力斗争风波。 如今&#xff0c;重掌控制权的创始人陈默和CEO吕程主导下&#xff0c;近期宣布进入生成式AI应用领域&#xff1b;另一个负气出走的创始人侯晓迪&#xff0c;则带着L4级别自动驾驶的理想开始新的创业。 曾经的…

Maven学习(零基础到面试)

1.什么是Maven? maven是一款用于管理和构建java项目的工具 2.Maven的作用&#xff1f; 1.依赖管理&#xff1a;方便快捷的管理项目以来的资源&#xff08;jar包&#xff09;&#xff0c;避免版本冲突问题。 以前的项目需要创建lib包&#xff0c;将网上的jar包资源放入其中使用…

C语言 ——— 将动态版本的通讯录实现为文件存储联系人模式

目录 前言 在退出通讯录之前 在运行通讯录之前 前言 在这篇博客中&#xff0c;实现了动态版本的通讯录&#xff0c;接下来会增加函数&#xff0c;能用文件存储通讯录中的联系人 C语言 ——— 在控制台实现通讯录&#xff08;增删查改、动态开辟内存空间&#xff09;-CSDN…

python如何调用函数库

python对函数库引用的第一种方式 格式是&#xff1a; import<库名> 例如&#xff1a; import turtle 如果需要用到函数库中函数&#xff0c;需要使用&#xff1a; <库名>.<函数名> 例如&#xff1a; import turtleturtle.fd(100) python对函数库引用的第…