01-Wireshark教程和3个实例
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Wireshark教程
一、界面
二、认识数据包
网络的7层次结构:物理层、数据链路层、网络层、传输层、表示层、会话层、应用层物理层数据帧概况:
数据链路层以太网帧头部信息
MAC地址:是网卡的物理地址
前3组是表示生产厂家、后3组是厂家对网卡的编号
IP地址是我们定义的,可以随便更改
ARP协议就是用来对二者进行转换的
互联网层IP包头部信息
其它内容
三、过滤器设置
过滤器的区别
捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
那么我应该使用哪一种过滤器呢?
两种过滤器的目的是不同的。
捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。
显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。
两种过滤器使用的语法是完全不同的。
显示过滤器
snmp || dns || icmp//显示SNMP或DNS或ICMP封包。
ip.addr == 10.1.1.1//显示来源或目的IP地址为10.1.1.1的封包。
ip.src==172.16.1.102 //显示来源是172.16.1.102的数据包
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6//显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 //显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。
tcp.port == 25//显示来源或目的TCP端口号为25的封包。
tcp.dstport == 25//显示目的TCP端口号为25的封包。
tcp.flags//显示包含TCP标志的封包。
tcp.flags.syn == 0x02//显示包含TCP SYN标志的封包。
可以从上面看过滤器设置的规则
通过这里的背景可以判断使用的语法是否正确:红色背景表示语法错误,绿色背景表示正确并且可以运行,黄色背景表示语法正确,但是可能没有结果。
1、使用字段名来过滤
在过滤器中输入:http.request.method==”GET” ,将显示使用GET方法获取数据的所有包
3、使用比较运算符
4、使用端口过滤器
5、根据IP地址过滤
注意是两个等于符号
将过滤条件改为http.request.method==”POST”http && http contains”flag”过滤一下
数据分析与取证-attack
1.使用Wireshark 查看并分析WindowsXP 桌面下的attack.pcapng 数据包文件,通过分析数据包attack.pcapng 找出黑客的IP 地址,并将黑客的IP 地址作为FLAG(形式:[IP 地址])提交;
答案:[172.16.1.102]
分析:找到POST的数据包,发现上传了一个Q.php的文件,内容是一句话木马,所以其source就是黑客地址难点:怎样设置过滤器找到POST的包。在过滤器中输入:http.request.method==”POST”
ip.src==172.16.1.102
2.继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交;
解题思路:
一般的扫描行为,是以ARP广播包的方式去探测网络中有哪些主机是处于开机状态。扫描行为是扫描一个网段中所有的IP地址,因此就会向该网段中所有的IP地址发送ARP广播包,包括没有主机使用的IP地址。
当检测到某一个IP所对应的主机是开机状态后,就会进一步对该主机进行端口探测,以获知该主机哪些端口是开放的,哪些端口有漏洞存在。
使用过滤只显示source是黑客地址并且使用TCP的包:ip.src==172.16.1.102 and tcp
参考答案:21,23,80,445,3389,5007
端口解析:
21是FTP(文件传输)协议代理服务器常用端口号;23 是Telnet(远程登录)协议代理服务器常用端口号
80是浏览器网页使用的端口。HTTP协议代理服务器常用端口号:80/8080/3128/8081/9098
WIN2003远程登录,默认端口号为3389。445端口是使用共享文件夹的端口Microsoft-DS
5007是wsm服务器ssl:wsm(web-based system manager)是基于web的系统管理程序,它是一个客户-服务器方式的图形化程序.它的图形界面可以使用户管理本地系统和远程系统
3.继续查看数据包文件attack.pacapng 分析出黑客最终获得的用户名是什么,并将用户名作为FLAG(形式:[用户名])提交;
解题思路:可使用过滤器:ip.src==172.16.1.102 and http 找到login.php,这是黑客登录时使用的页面。
或者使用过滤器:http contains "username" and ip.addr=172.16.1.102
参考答案:Lancelot
4.继续查看数据包文件attack.pacapng 分析出黑客最终获得的密码是什么,并将密码作为FLAG(形式:[密码])提交;
参考答案:12369874
5.继续查看数据包文件attack.pacapng 分析出黑客连接一句话木马的密码是什么,并将一句话密码作为FLAG(形式:[一句话密码])提交;
解题思路:在wireshark中筛选HTTP的数据包,找到一个比较可疑的访问,如图~~~ (可以看出Q.php有很大可疑是木马,双击打开数据包一探究竟)
由此得知,题1中需要找的黑客IP就是172.16.1.102 。。。。。
可使用过滤器:ip.src==172.16.1.102 and http
答案:[alpha]
疑问:会不会是
本题的另一种解法:
直接用记事本打开数据包文件,查找POST。