01-Wireshark教程和3个实例

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Wireshark教程

一、界面

二、认识数据包

网络的7层次结构:物理层、数据链路层、网络层、传输层、表示层、会话层、应用层物理层数据帧概况:

数据链路层以太网帧头部信息

MAC地址:是网卡的物理地址

前3组是表示生产厂家、后3组是厂家对网卡的编号

IP地址是我们定义的,可以随便更改

ARP协议就是用来对二者进行转换的

互联网层IP包头部信息

其它内容

三、过滤器设置

过滤器的区别

捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。

那么我应该使用哪一种过滤器呢?

两种过滤器的目的是不同的。

捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。

显示过滤器是一种更为强大(复杂)的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。

两种过滤器使用的语法是完全不同的。

显示过滤器

snmp || dns || icmp//显示SNMP或DNS或ICMP封包。

ip.addr == 10.1.1.1//显示来源或目的IP地址为10.1.1.1的封包。

ip.src==172.16.1.102 //显示来源是172.16.1.102的数据包

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6//显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 //显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。

tcp.port == 25//显示来源或目的TCP端口号为25的封包。

tcp.dstport == 25//显示目的TCP端口号为25的封包。

tcp.flags//显示包含TCP标志的封包。

tcp.flags.syn == 0x02//显示包含TCP SYN标志的封包。

可以从上面看过滤器设置的规则

通过这里的背景可以判断使用的语法是否正确:红色背景表示语法错误,绿色背景表示正确并且可以运行,黄色背景表示语法正确,但是可能没有结果。

1、使用字段名来过滤

在过滤器中输入:http.request.method==”GET” ,将显示使用GET方法获取数据的所有包

3、使用比较运算符

4、使用端口过滤器

5、根据IP地址过滤

注意是两个等于符号

将过滤条件改为http.request.method==”POST”http && http contains”flag”过滤一下

数据分析与取证-attack

1.使用Wireshark 查看并分析WindowsXP 桌面下的attack.pcapng 数据包文件,通过分析数据包attack.pcapng 找出黑客的IP 地址,并将黑客的IP 地址作为FLAG(形式:[IP 地址])提交;

答案:[172.16.1.102]

分析:找到POST的数据包,发现上传了一个Q.php的文件,内容是一句话木马,所以其source就是黑客地址难点:怎样设置过滤器找到POST的包。在过滤器中输入:http.request.method==”POST”

ip.src==172.16.1.102

2.继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为FLAG(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交;

解题思路:

一般的扫描行为,是以ARP广播包的方式去探测网络中有哪些主机是处于开机状态。扫描行为是扫描一个网段中所有的IP地址,因此就会向该网段中所有的IP地址发送ARP广播包,包括没有主机使用的IP地址。

当检测到某一个IP所对应的主机是开机状态后,就会进一步对该主机进行端口探测,以获知该主机哪些端口是开放的,哪些端口有漏洞存在。

使用过滤只显示source是黑客地址并且使用TCP的包:ip.src==172.16.1.102 and tcp

参考答案:21,23,80,445,3389,5007

端口解析:

21是FTP(文件传输)协议代理服务器常用端口号;23 是Telnet(远程登录)协议代理服务器常用端口号

80是浏览器网页使用的端口。HTTP协议代理服务器常用端口号:80/8080/3128/8081/9098

WIN2003远程登录,默认端口号为3389。445端口是使用共享文件夹的端口Microsoft-DS

5007是wsm服务器ssl:wsm(web-based system manager)是基于web的系统管理程序,它是一个客户-服务器方式的图形化程序.它的图形界面可以使用户管理本地系统和远程系统

3.继续查看数据包文件attack.pacapng 分析出黑客最终获得的用户名是什么,并将用户名作为FLAG(形式:[用户名])提交;

解题思路:可使用过滤器:ip.src==172.16.1.102 and http 找到login.php,这是黑客登录时使用的页面。

或者使用过滤器:http contains "username" and ip.addr=172.16.1.102

参考答案:Lancelot

4.继续查看数据包文件attack.pacapng 分析出黑客最终获得的密码是什么,并将密码作为FLAG(形式:[密码])提交;

参考答案:12369874

5.继续查看数据包文件attack.pacapng 分析出黑客连接一句话木马的密码是什么,并将一句话密码作为FLAG(形式:[一句话密码])提交;

解题思路:在wireshark中筛选HTTP的数据包,找到一个比较可疑的访问,如图~~~ (可以看出Q.php有很大可疑是木马,双击打开数据包一探究竟)

由此得知,题1中需要找的黑客IP就是172.16.1.102 。。。。。

可使用过滤器:ip.src==172.16.1.102 and http

答案:[alpha]

疑问:会不会是

本题的另一种解法:

直接用记事本打开数据包文件,查找POST。

相关文档
最新文档