网络安全入门必学：Wireshark抓包全解析，从安装到实战技巧收藏

网络安全入门必学Wireshark抓包全解析从安装到实战技巧收藏本文详细介绍了Wireshark网络抓包工具的安装部署与使用技巧。内容涵盖如何在不同网络设备(服务器、路由器、防火墙等)上配置端口镜像进行流量监控VLAN抓包注意事项以及抓包参数的高级设置。文章还强调了时间同步对抓包分析的重要性适合网络安全初学者掌握网络故障排查和数据包分析的基本技能。Wireshark实战指南从安装到抓包全解析一、Wireshark简介本章节将介绍以下相关主题安置Wireshark主机系统或应用程序开始抓包本书的前言曾提到过网络排障以及内置于Wireshark能帮助排障的各种工具。一旦决定动用Wireshark协议分析软件在使用该物品或服务之前那么我们需要首先明确这个软件在网络环境中的具体安装位置和配置方式或安装位置。除此之外此外针对该软件我们需要进行一些基础性的设置工作至少应该让它的界面显得更加友善和易于使用。用Wireshark执行基本的抓包操作进行配置操作并不会感到困难然而这款软件内建了众多专业级的功能设定可供调整可用于处理特定的个别情形。这样的特殊情况包括令Wireshark在某条链路上持续抓取数据包的同时将捕获的数据包文件分割成若干个规模更小的独立文件让Wireshark在抓包主窗口的数据包列表区域只显示进行工程项目的承包与分包活动主机或设备的名称而非IP地址等。本章会介绍如何在Wireshark中配置这些高级选项为了处理上述特殊情况。二、安置Wireshark软件系统或中央处理单元洞察到网络出现问题的外在现象决定通过Wireshark抓包来查明故障原委之前应确定Wireshark软件系统或中央处理单元的进行软件的安装或部署工作位置。为此需要获取一张精确度高的网络拓扑图务必深入探究并明确受故障影响的那段网络系统的整体连接布局与结构如图所示。安置Wireshark的原理非常简单。首先需要明确确定需要捕捉的具体内容范围哪台设备所产生的数据传输量其次要把安装了Wireshark的主机笔记本与监控设备所连接的交换机建立连接最后启动交换机的端口复制功能或者对端口进行监控功能把受监控设备所产生的数据传输量“重定向”给Wireshark主机。请在此处提供图片的相关说明文字可利用Wireshark监控LAN端口、WAN端口、服务器、路由器端口以及连接到网络中的所有其他设备的网络流量。如图所示利用Wireshark软件安装在交换机左边的PC上除此之外还包括对交换机端口的镜像功能进行配置亦被称为端口监控需要在该交换机上启用这一功能流量镜像的方向在图中已经进行了明确的标注功能通过这种方式我们便能够对进入的情况实施监视、出服务器S2的所有流量。当然也可以在服务器S2上直接安装Wireshark如此行事便能直接在服务器S2上监控进、超出该服务器的流量使用了。部分设备制造商的交换设备同样具备以下几种网络流量监测的功能特性。监控整个VLAN的流量即监控整个VLAN服务器VLAN或语音VLAN的流量。可以利用这一特性在指定的某一具体VLAN内进行流量监控。“多源归一”流量监控情况方式以图1.1为例利用这一特性可让Wireshark主机同时监控到服务器S1和S2的流量。方向选择用户可以根据需求选择对入站流量进行监控、进行出站流量的监控或者同步监控出站流量、入站流量。2.1准备工作实验环境中已经安装了Wireshark现在无需再单独进行软件的下载以及安装操作了使用Wireshark抓包之前请先访问Wireshark官网下载并安装最新版本的Wireshark。Wireshark软件的后续更新会发布在其官网http://www.wireshark.org的Download页面下其最新且经过验证的版本同样能够在此页面进行获取。每个Wireshark Windows安装包都会自带WinPcap驱动程序的最新稳定版本WinPcap驱动程序为实时抓包所必不可缺。用于抓包的WinPcap驱动程序为UNIX Libpcap库的Windows版本。2.2 操作方法下面以这张图所示的典型网络为例来说明我们来深入探讨一下这个网络的构造方式、网络环境中各设备的安装位置及其运行模式、Wireshark的安置方法此外还应该探讨怎样根据实际需求来设置网络设备的相关参数。请在此处提供图片的相关说明文字请读者认真审视并深入分析图中所呈现的这种简单且常见的网络拓扑结构。服务器流量使用情况监测类似于对服务器流量进行监控这类需求在实践操作中极为普遍。为了能够对特定的服务器进行监视和管理收/发的流量在交换机设备上能够对连接至服务器的特定端口实施端口镜像技术如图中编号为①的部分所示将流量“重定向”至Wireshark主机也可以在服务器上直接安装Wireshark。对路由器数据流量进行监测与分析想要对进入进行监控、经过路由器的网络数据传输量监控其LAN端口参照图示中的编号②与⑥部分所示或WAN端口根据图中编号为⑤的标注所示这些事情都是可以实现的。路由器LAN端口的数据传输量监控起来比较简单只要在交换机的相关设置中指定端口镜像功能把与路由器LAN口相连的端口的数据传输量“重定向”至连接Wireshark主机的端口。要想监控路由器WAN口的流量则要在路由器WAN口和SP服务供应商在多个网络之间安装并配置一台交换设备在这台网络交换设备中设置端口复制功能如图所示。请在此处提供图片的相关说明文字在SP网络与路由器WAN口之间部署一台交换机是一项可能会造成网络中断的行为。不过倘若真的要采取这种方式进行操作网络连接中断的时长通常不会超过一两分钟。监控网络设备的数据传输情况时有一点需要特别关注那些发送给路由器的数据包未必都能被其成功转发。部分数据包可能在传输过程中“走失”而路由器存在因缓存溢出问题从而可能对某些数据包“忍痛割爱”也可能存在将部分数据包从接收端口移除的情况“原路送回”。在执行上述流量监控任务的过程中或许可能会运用到以下两种设备。TAP在受到监控的链路上可以应用一种被称为分路器的设备Test Access Point TAP使用相应的设备来替换掉图中所示的交换机这是一种较为简便的方式“三通”三端口设备在实施流量监测的过程中它的功能效果与交换机相仿。相较于交换机而言TAP不但便宜而且使用方便。此外TAP还会把错包原样传递给Wireshark而LAN交换机则会把错包完全丢弃。交换机不仅售价不菲而且还需要投入相应的时间精力进行设置调整毫无疑问它所具备的监控功能也更为丰富多样比如一般的LAN交换机都支持简单网络管理协议[SNMP]。在进行网络故障排查过程中推荐选用支持网络管理的交换机即便是那些功能相对有限但支持网络管理的交换机也完全可以考虑使用。HUB可在受监控的链路上用一台HUB来取代图中的交换机。HUB属于半双工设备藉此设备路由器和SP设备之间穿行的每一个数据包都能被Wireshark主机“看”非常清晰地了解。使用HUB最大的坏处是这将明显增大网络传输的时延因此会对数据收集工作造成影响。如今监控1Gbit/s端口的数据传输量可谓是家常便饭在这种情况下使用HUB将会使速率骤降至100Mbit/s这将对抓包活动造成显著的不良后果。所以说在抓包时一般都不用HUB。防火墙的数据流量监测防火墙的数据流量监测的手段有两种其中一种是在监控防火墙的内端口设置如图所示编号为③的部分所示的流量另外一种类型是监控作为防火墙的外部接口参照图中编号为④的部分所示的流量。在监控防火墙的内部接口则可以“观看”到内网用户发起的所有访问Internet的流量其源IP地址均为分配给内网用户的内部IP地址关于监控防火墙的外部接口则能“观看”到的所有通过了防火墙的允许访问Internet的流量这些流量的源IP地址均为外部IP地址拜NAT所赐分配给内网用户的内部IP地址被转换成了外部IP地址而由内部网络的用户发起然而防火墙并未允许该流量通过监控防火墙的外部接口状态是无法被直接观察到的[① 根据译者的说明原文的内容为“On the internal port you will see all the internal addresses and all traffic initiated by the users working in the internal network, while on the external port you will see the external addresses that we go out with (translated by NAT from the internal addresses); you will not see requests from the internal network that were blocked by the firewall”。原文较差译文酌改。]。若有人通过Internet启动防火墙保护程序或内网的攻击要想“观察”针对攻击性数据传输作为监控位置其位置也仅能设定在防火墙的外部出口处。为了深入了解端口镜像的原理和运作方式端口监控其工作机制需先理解LAN交换机的运作方式。LAN交换机执行数据包转发任务时的“举动”如下所列。1LAN交换机会“坚持不懈”地学习接入本机的所有设备的MAC地址。2收到发往某MAC地址的数据帧时LAN交换机只会将其从学得此MAC地址的端口外发。3在接收到广播帧期间交换机会将数据从除了接收数据端口之外的其它所有端口转发出去。4接收到多播数据包时若未启用Cisco组管理协议Cisco Group Management ProtocolCGMP或Internet组管理协议Internet Group Management ProtocolIGMP监听特性LAN交换机会将数据从除了接收数据端口之外的其它所有端口转发出去如果启用了上述两种特性中的任意一种LAN交换机将会通过连接了相应多播接收主机的端口进行外部的多播帧发送。5收到目的MAC地址未知的数据帧时这种情况相对较为少见交换机会将数据从除了接收数据端口之外的其它所有端口转发出去。综上所述在LAN交换机上配置端口镜像去监控某个端口时可“采集”到进、输出该端口的所有传输数据。若只是将一台安装了Wireshark的笔记本接入LAN交换机未在交换机上开启端口镜像技术那么仅能捕捉到所有单向数据传输中进入或离开该便携式计算设备的数据流量以及同一VLAN里的多播及广播流量。2.3 拾遗补缺使用Wireshark抓包时此外还须注意几种特定的情形。其中一个特定的情形是抓取整个VLAN的流量VLAN流量监控。在基于VLAN执行抓包任务时有几个关键要点必须牢记在心。首先需要关注的一个要点是Wireshark主机只能采集到与其直连的交换机承载的同一VLAN的流量。比方说在一个可交换式网络环境中LAN内有多台交换机都拥有隶属于VLAN 10的端口要是只让Wireshark主机直连某台接入层交换机那必然采集不到VLAN 10在内部网络中其他接入层交换机上运行的主机所产生的访问直接连接到核心层交换机的服务器的数据流量。请在此处提供图片的相关说明文字请仔细审视上方图中所呈现的该网络结构通常情况下用户会遍布于大楼的不同楼层之中与所在楼层的接入层交换设备建立连接。各台接入层交换机需要连接到一台或者两台为了冗余核心层交换机之间互相连接。Wireshark主机要想抓全某个VLAN的流量必须与承载此VLAN流量的交换机直接相连才能采集到相应VLAN的流量。因此要想抓全VLAN 10的流量Wireshark主机必须直连核心层交换机。在上图中若Wireshark主机直连SW2且在SW2上激活了相关端口镜像技术开始监控VLAN 30的流量那么它只能获取到进入、出SW2 P2、P4、P5端口的数据传输量以及由SW2承载的同一VLAN的流量。该Wireshark主机绝不可能采集到SW3和SW1之间来回穿行的VLAN 30的流量。基于整个VLAN来实施抓包任务时存在捕获到重复数据包的可能性这构成一个需要额外关注的事项。之所以会出现这种现象之所以会启用端口镜像技术对于在不同交换机端口之间交换的同一VLAN的流量Wireshark主机会在流量接收端口的流入input主要流向及流量发送端口的出口output分别从各个方向进行一次采集。如上图所示在交换机上已激活了端口镜像技术对VLAN 30对流量进行监控管理。对于服务器S4向S2发送的数据包当其从连接S4的交换机端口流入VLAN 30时Wireshark主机将抓取一次当其从从连接S2的交换机端口流出VLAN 30时Wireshark主机会再抓取一次。这么一来成功获取了反复出现的流量数据。请在此处提供图片的相关说明文字2.4 进阶阅读想要全面掌握关于端口镜像的各种信息请参考由各个网络设备供应商所提供的操作指南。部分生产制造商亦将端口镜像技术称作“端口监控”或SPANSwitched Port AnalyzerCisco公司。部分设备制造商提供的交换机具备远程监控网络流量的功能能让直连本地交换机的Wireshark主机采集到远程交换机端口的数据传输量此外还具备精密的筛选机制比如在把流量重定向给Wireshark主机的同时过滤掉具有特定MAC地址的主机发出的流量。部分高端交换机设备内置了捕获与分析数据包的能力。部分交换机设备亦具备对虚拟端口的兼容性支持例如组合端口或以太网通道接口流量监控情况。有关详情请查阅有关交换机的随机性技术资料或文档。三、开始抓包本节首先将介绍如何启动Wireshark然后会讲解布放好Wireshark之后怎样设置它的相关参数为了能够有效地处理和应对各种不同的抓包情境。3.1 准备工作点击应用程序菜单-》互联网-》Wireshark使用这个数据包分析工具进行操作。请在此处提供图片的相关说明文字Wireshark一旦运行将会出现如图所示的界面Wireshark1.10.6运行窗口。请在此处提供图片的相关说明文字3.2 操作方法要想让Wireshark软件能抓到数据包有以下三种途径点击Capture菜单下的相关菜单项请选择并激活位于快速启动工具栏中的那个绿色图标点击Wireshark主窗口左侧居中的Start区域里的相关选项如图1.6所示。此外在进行抓包操作之前还可对Wireshark的某抓包选项进行配置。在选择用于实际抓包的网卡时需要考虑哪些网络接口卡NIC最合适来完成这项任务若只是点击图所示Wireshark快速启动工具栏里的绿色图标位于第三个位置的正数图标Wireshark在抓包时实际应用中所选用的网卡设备将依照该软件预设的配置进行指定如何对这一默认配置进行调整或修改详见3.3节。请在此处提供图片的相关说明文字要选择Wireshark抓包时实际使用的网卡请选择并点击位于快速启动栏左侧区域的第一项图标List the available capture interfaces图标Wireshark Capture Interfaces窗口会立刻弹出如图所示。请在此处提供图片的相关说明文字为了确定哪块网卡是有效的我们需要进行进一步的检查和确认最有效的办法是考察它是否具备收发数据流量的能力。通过上图可以得知Wireshark感知到的各块网卡正在收、发送的数据包数量Packets列及速率Packets/s列。若Wireshark的版本不低于1.10.2那么可以考虑运用不止一块的网卡以此实现同时进行网络数据包的捕获。采取此种方式所带来的益处在于只要Wireshark主机配有多块网卡可以实现对多个服务器端口的并发监控、多个路由器设备或者其它类型的网络设备端口的数据传输量。如下图所示呈现的是这样一个具体的应用场景。请在此处提供图片的相关说明文字请说明具体要设置哪一个网络适配器来进行数据包捕获操作 需要对实际用于网络抓包操作的网络接口卡进行更为细致的设置与调整请点击Capture菜单中的Options菜单项Wireshark Capture Options窗口会立刻弹出如上图所示。请在此处提供图片的相关说明文字在上图所示的Wireshark Capture Options窗口中可以设置以下各项参数。1在Wireshark Capture Options窗口的上半部分区域可以选择用于实际抓包的网络接口卡。2在Wireshark Capture Options窗口的左中区域有一个Use promiscuous mode on all interfaces复选框。选中时会让Wireshark主机抓取交换机端口镜像技术对自身发出的所有数据包进行路径指定即便数据包的预定终点MAC/IP该地址并非运行本机的地址否则Wireshark主机只能抓取到目的MAC/IP以本机地址作为目标的数据包除此之外还需考虑广播和多播数据包的处理。3在某些特定情形下当您勾选这个复选框时Wireshark将不会从无线网卡抓包。因此如果决定采用无线网卡来进行数据包捕获然而在尝试过后却一无所获请将此复选框的勾选状态去除。4在Use promiscuous mode on all interfaces复选框下有Capture Files字样其后有个files输入栏您可以在指定的栏位中输入一个文件名称然后再点选use multiple files复选框。这么一点Wireshark不但会把所抓数据保存在由其命名的文件内该系统的运行路径允许用户自行设定此外也能够针对特定的需求进行调整以多个文档的形式进行保存。当以多个文件的形式进行存储时在同一个文件夹内Wireshark会自动在原始文件名后添加后缀“_xxxxx_具体时间”需要进行区分开来。如果需要采集的数据量比较大Wireshark的这一功能便非常有用。譬如当网卡接收的数据流量处于较大水平时或者在需要进行长期数据采集的场景中可以利用这一支持多文件存储的特性基于特定的时段间隔点选第二个next file every复选框或者我们期望能够保存的每一个捕获数据包的文件容量大小点选第一个next file every复选框让Wireshark另行打开一个新的文件来保存所抓取的数据。5在Wireshark Capture Options窗口的左下区域有Stop Capture Automatically字样。可以选择其对应的三个复选框选项让Wireshark根据抓包时长、所保存的抓包文件所占用的存储空间容量或所捕获并记录下来的数据包的总数需要判断是否应该终止当前的网络数据包捕获工作。6在Wireshark Capture Options窗口的右中区域有Display Options字样。可以选择其对应的三个复选框选项来配置Wireshark抓包主窗口的显示选项。点选Update list of packets in real time复选框Wireshark抓包主窗口将会实时显示抓取到的所有数据包点选Automatically scroll during live capture复选框Wireshark抓包主窗口会在实时显示数据包时自动滚屏点选Hide capture info dialog复选框Wireshark将不再弹出与实际用来抓包的网卡相关联的流量统计窗口。一般而言无需改变Wireshark软件的上述任何一项默认配置。7在Wireshark Capture Options窗口的右下区域有name resolution字样。可以选择其名下提供的四个复选框选项请针对与名字解析相关的设置进行相应的调整。请选中位于最前面的三个复选框选项就会让Wireshark在显示数据时解析出与MAC地址、IP地址以及第四层协议端口号相对应的名称比如MAC地址所隶属的厂商名、与IP地址相对应的主机名或域名、与TCP/UDP端口号相对应的应用程序名等点选最后一个复选框Use external network name resolverWireshark便会调用由操作系统指明的名字解析程序比如DNS解析程序请对前述名称进行深入分析。3.3 幕后原理Wireshark的抓包原理非常简单。把Wireshark主机上的网卡接入有线或无线网络开始抓包时介于有线或无线网卡与抓包引擎之间的软件驱动程序将在此过程中发挥作用。在Windows和UNIX平台上这一软件驱动程序分别叫做WinPcap和Libcap驱动程序关于无线网络适配器行使抓包任务的软件驱动程序名为AirPacP驱动程序。3.4 拾遗补缺若数据包的接收过程、发时间是影响问题的关键要素之一且还要让Wireshark主机从一块以上的网卡抓包则Wireshark主机就必须与抓包对象配置有监控功能的计算机主机或网络服务器同步时间可利用NTP网络时间协议Network Time Protocol简称NTP是一种用于同步计算机时间的一种网络协议。它通过在客户端和服务器之间传递时间信息以实现网络中各个设备之间时间的精确同步。NTP协议采用分层的时间服务器结构通过多层服务器之间的时间传递以提高时间同步的精度和可靠性。NTP协议广泛应用于各种网络设备和系统中如服务器、路由器、交换机等以确保它们的时间同步从而提高整个网络系统的稳定性和可靠性让Wireshark主机/抓包对象与某个中心时钟源同步时间。当网管人员既需观察Wireshark抓包文件同时需要核查由抓包目标所产生的日志文件记录情况在寻找故障排除的线索时Wireshark主机与抓包对象该系统的内部时间记录装置是否同步将会变得无比重要。比方说Wireshark抓包文件显示的发生TCP重传的时间点与处于监控状态的服务器生成的根据日志记录的信息应用程序发生错误的具体时间点与所描述的情况完全一致则可以判断TCP重传是拜服务器正在运行的应用程序所赐脱离于网络环境。Wireshark软件所采用的时间取自操作系统Windows、Linux等该系统的内部时间记录装置。至于不同OS中NTP的配置方法请参照相关操作系统的配置指南或手册。以下所列为在Microsoft Windows 7在操作系统内部设置时间同步的方法。1请点击位于任务栏最右侧的时间显示区域进行操作可能会出现时间窗口。2在指定的时间段内进行点击操作“更改日期与具体时间点设置”会弹出“日期与具体时间点”窗口。3在“日期与具体时间点”窗口中点击“Internet时间”标签再点击“更改设置”会弹出“Internet时间设置”窗口。4在“Internet时间设置”窗口中选中“与Internet时间服务器同步”复选框在“服务器”在随后的输入区域中键入时间服务器的相关信息NTP的IP地址请再次点击确认按钮。 注 意 在Microsoft Windows 7在随后的版本操作系统中默认情况下系统预设了若干个时间服务器的地址用于时间同步以域名作为格式。可以选择一个合适的时间服务器进行配置使用确保网络中所有设备均能与其统一的时间源进行同步。RFC 1059NTPv1是定义NTP的第一份标准文档RFC 1119NTPv2那么第二份便是目前常用的NTPv3和v4则分别定义于RFC 1305和RFC 5905。NTP服务器IP地址表可从多处下载比如[http://support.ntp.org/bin/view/Servers/StratumOneTimeServers和http://wpollock.com/AUnix2/NTPstratum1PublicServers.htm](https://support.ntp.org/bin/oops/Servers/StratumOneTimeServers%E5%92%8Chttp://wpollock/com/AUnix2/NTPstratum1PublicServers/Htm?templateoopsaccessdenied;defno_such_web;param1view;templateoopsaccessdenied;defno_such_## 标题web;param1view)或许您会关注到与本文内容关联的镜像信息文章来自网上侵权请联系博主学习资源如果你是也准备转行学习网络安全黑客或者正在学习这里开源一份360智榜样学习中心独家出品《网络攻防知识库》,希望能够帮助到你知识库由360智榜样学习中心独家打造出品旨在帮助网络安全从业者或兴趣爱好者零基础快速入门提升实战能力熟练掌握基础攻防到深度对抗。1、知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。2、 部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解3、适合学习的人群‌一、基础适配人群‌‌零基础转型者‌适合计算机零基础但愿意系统学习的人群资料覆盖从网络协议、操作系统到渗透测试的完整知识链‌‌开发/运维人员‌具备编程或运维基础者可通过资料快速掌握安全防护与漏洞修复技能实现职业方向拓展‌或者转行就业‌应届毕业生‌计算机相关专业学生可通过资料构建完整的网络安全知识体系缩短企业用人适应期‌‌二、能力提升适配‌1、‌技术爱好者‌适合对攻防技术有强烈兴趣希望掌握漏洞挖掘、渗透测试等实战技能的学习者‌2、安全从业者‌帮助初级安全工程师系统化提升Web安全、逆向工程等专项能力‌3、‌合规需求者‌包含等保规范、安全策略制定等内容适合需要应对合规审计的企业人员‌因篇幅有限仅展示部分资料完整版的网络安全学习资料已经上传CSDN朋友们如果需要可以在下方CSDN官方认证二维码免费领取【保证100%免费】这些东西我都可以免费分享给大家需要的可以点这里自取:网安入门到进阶资源