深信服翔鹰计划第三周

这周主要是wireshark抓包和协议分析。

8说了,先启动,随便抓点包,这里用之前抓过的一堆包来搞一下,因为在挂BT所以数据量有点大

可以看到 很多checksum失败的包 可能是因为我无线网的关系吧..

选中的这个包是一个和tracker服务器通信的包,敏感信息已经打码,因为PT是含有用户指纹的(

可以明显的看到三层存在校验和错误,所以说为什么错误都是0x00(问题1)

重新抓包,在设置中调整抓包选项,比如只抓ARP包 过滤填写arp即可

瞬间简洁了xD,可以看到路由器在请求本机的IP地址 做ARP刷新。

使用TCP Follow功能可以分析TCP流。比如 通过显示过滤器tcp.flags.syn==1 and tcp.flags.ack != 1 将所抓包的建立每个TCP连接的第一个包给过滤出来。

找一个感兴趣的包follow stream,得到与tracker通信的更加具体的内容,如图

利用summary功能可以做抓包的统计,在statistics-> summary菜单中统计抓包数量和体积等

protocol hierarchy 分析协议构成

conversations分析IP通信密度

endpoints分析终点等等

于是可以对常见的报文类型进行分析,如ICMP,DNS,或者对HTTP,HTTPS进行分析~


总结:可用于学习各种软件的通信原理,对协议进行分析以判断使用了何种协议,或者对未加密的数据进行检查,对加密的数据进行特征分析等,wireshark虽然不是什么黑科技,但其实用性特别强,姿势特别多,善用wireshark可以在网络故障时提供简单快捷的诊断方法,是不可多得的利器~

0 评论
留言