几种常见网络抓包方式介绍
几种常见网络抓包方式介绍
几种常见网络抓包方式介绍
无论作为网络运维人员,还是安全渗透工程师,在工作中都会无可避免地碰到网络抓包的需求。
对网络运维人员,网络抓包可以:
- 定位网络里的异常设备;- 排查网络性能瓶颈;- 了解真实的网络互联状态。 对安全渗透工程师,网络抓包可以:
- 有助于逆向分析联网型App;- 从真实流量中发现可利用的漏洞;- 定位可能的网络后门和木马。 以上这些目标,往往无法仅靠在本机上抓包完成,必须在网络层有更方便的抓包解决方案。在古早还使用集线器(Hub)时,由于Hub设备不够“智能”,它会把所有的流量转发给所有的端口(除了发出端口之外),所以只要把监听机器的网卡设置为混杂模式(promiscuous mode),即可收到接在同一个Hub上其他机器的流量。但这种方式随着Hub退出市场,也慢慢不再适用了。
以下介绍几种在实验室环境和中小型网络里的网络抓包方式。它们不是企业级专业级的解决方案,而更适用于个人网络逆向分析和问题定位。
一、网络分流器(TAP)
网络分流器大多都是无源型(passive)设备,所以不需要装任何软件,不需要有什么额外知识,就能抓到流经网线的流量。一款非常小巧便携的适合个人使用的网络分析器如图:
上图东西的全名叫“Throwing Star LAN TAP”,用上述关键字在淘宝可以找到,盛惠50大元。通过和参照物的对比,可以看出它非常小巧,而且无需电源供电,只是在接入网络时会引起短暂的网络中断,基本对网络没有影响。
它共有4个RJ45口,形成一个飞镖状(飞镖的英文就是“Throwing Star”)的十字结构。使用时把J1-J2串入需要做抓包的网络中,J3和J4连接抓包机器。也就说J3和J4两个口,是分别捕获流入和流出两个方向的流量,再分别复制给监听系统的两个网络端口的。所以要想同时捕获监控链路里的所有流量,监控工作台电脑必须有两块用于嗅探的网卡。这个也并不难实现,除了默认的有线网卡之外,只要再接一个USB接口的有线网卡即可。以下为TAP接入网络的场景:
TAP可以直接串在要抓包的设备前面,也可以接到某台交换设备前面。如果接在交换设备前,得到的流量可能很大,在设置抓包参数时需要做适当的过滤。如上图示意图,我们使用的抓包机器为 Linux系统,上有两块有线网卡,分别连接J3和J4接口。要注意的是,抓包机器这样接入TAP后,自身是无法上网的!
在抓包机器上,执行 tshark-D
命令,获得系统里当前可以抓包的所有接口列表。需要对哪个接口抓包,可以用 -i 参数指定。如下图的网卡列表中,排名第一的 “1.enp0s25” 即为系统自带有线网卡,排名第二的 “2. enx00e04c680039” 是USB接口的有线网卡。如果需要同时对两块网卡做抓包,只需要在 tshark -i 参数后,加入网卡编号即可。所以最后执行的命令为: tshark-i1-i2-w cap2.pcap
,就可以把流经TAP的全部流量,保存到 cap2.pcap 文件里。
以上步骤虽然是以Linux操作系统的抓包机器来做示例,但完全可以移植到其他平台,如Windows平台甚至可以直接在图形界面的Wireshark里选定要抓包的网络接口,操作上更直观可用。从获得的cap2.pcap抓包文件里再做细致的数据包分析和检索。
如下图中查看的端点列表。
以及下图中的往来HTTP流量。如果抓包机器上只有一个网卡,只能连到J3/J4接口之一,则下面这个截图里的HTTP流量,在同一时间内只能获得请求或者响应单个方向的流量。
二、有网管功能的小交换机
上面介绍的无源 TAP固然非常便携,但如果不乐意在自己机器上多准备一个网络接口,就无法同时抓到双向的流量。如何解决这个问题呢?最简单的方式,是使用具备网管功能的交换机。现在具备网管功能的交换机并不昂贵,有大量适用于办公网络的小交换机可供选购。在选购的过程中,请注意它的功能列表是否标有“支持端口镜像”,如果有,就可以满足抓包的需求。如我们测试使用的这款tp-link TL-SG2005小交换机:
这类设备使用方式取决于不同的品牌和型号,请阅读相关说明说。在我们这款设备中,只需要把监控机器接到某个网络接口(下图中抓包机器接在端口5上),并访问内置Web控制台,从Web控制台上,指定对哪个或哪几个端口进行流量镜像即可(下图中需要被抓包的机器在端口4上)。 配置示例如下图:
如上图设置完成后,即可在端口5所连的抓包机器上,非常方便地对接在端口4所接机器执行抓包监控。
三、用两块网卡的Linux方案
hmmm,上面的方法确实都很不错啦,但好像都只支持有线连接的设备抓包?如果需要对无线设备的流量抓包怎么办呢?这可以通过各种装有2个网卡,搭建自己的无线 AP实现。预算低的可以选择树莓派这类ARM平台硬件系统,预算充裕的可以选择带无线网卡的各种迷你电脑。自行在这些机器安装合适的Linux发行版,并把这些设备配置成“有线-无线网卡”的网桥/无线接入点,然后直接在这台机器的网桥接口上进行抓包。这种方式可以指定源端机器的详细信息做过滤,如IP地址或MAC地方,抓包过滤可以更定制化更精确。以下我们以装了基于Debian系统的树莓派举例说明大体步骤。
树莓派已自带一块有线网卡和一块无线网卡接口,在系统中分别名为eth0和wlan0。以下用树莓派3在官方Raspbian平台的情况举例。
首先安装 (1)网桥管理程序 bridge-utils、(2)软AP接入点管理程序hostapd、(3)命令行抓包工具tshark 和 (4)随机数产生工具rng-tools:
sudo apt-get install -y bridge-utils hostapd tshark rng-tools
要启用网桥功能,需要在内核里把 net.ipv4.ip_forward
置为1。修改 /etc/sysctl.conf
,加入以下这行:
net.ipv4.ip_forward=1
创建一个网桥br0,编辑 /etc/network/interfaces
,把eth0 网卡加入网桥br0,把网桥br0的IP,设置为原来eth0的IP。
也就是【address 192.168.99.13】这一行,应为 eth0 网卡的原IP地址,其他信息如网关和dns等请根据实际情况修改。
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet manual
allow-hotplug wlan0
iface wlan0 inet manual
#创建一个网桥br0,把eth0加入这个网桥
#给网桥指定一个静态IP,这里用192.168.99.13,是因为树莓派所接网段为192.168.99.0/24,需要根据实际情况修改
#网桥的静态IP最好和原来的eth0静态ip保持一致,虽然不是强制项
auto br0
iface br0 inet static
bridge_ports eth0
address 192.168.99.13
netmask 255.255.255.0
network 192.168.99.0
broadcast 192.168.99.255
gateway 192.168.99.1
dns-nameservers 8.8.8.8
#如果网桥需要用dhcp方式获得IP
#iface br0 inet dhcp
把无线网卡wlan0配置为AP热点,热点的ssid名为【wifi_ssid】,密码为【12345678】,编辑文件 /etc/hostapd/hostapd.conf
:
# 把wlan0网卡配置为ap热点
interface=wlan0
driver=nl80211
hw_mode=g
channel=6
ieee80211n=1
wmm_enabled=1
ht_capab=[HT40][SHORT-GI-20][DSSS_CCK-40]
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP
# 接入点名称,可按实际需求修改
ssid=wifi_ssid
# 接入点验证密码,可按实际需求修改
wpa_passphrase=12345678
# 把接入点加入网桥br0
bridge=br0
要持久化以上热点配置,编辑hostapd服务文件,执行命令 sudo vi/etc/systemd/system/hostapd.service
,把 /etc/systemd/system/hostapd.service
文件的内容设置为:
[Unit]
Description=Hostapd Service
[Service]
Type=forking
ExecStart=/usr/sbin/hostapd -B /etc/hostapd/hostapd.conf
[Install]
#WantedBy=multi-user.target
WantedBy=graphical.target
Alias=hostapd.service
其中【WantedBy=】一行取决于当前系统的默认启动级别,可以先执行命令 systemctlget-default 确认默认启动级别。根据实际情况,选择其中一种。
再把hostapd服务指定为自启动模式:
sudo update-rc.d hostapd defaults
sudo update-rc.d hostapd enable
service hostapd status
完成后重启机器, sudo reboot now
。
重启重新登录系统后,执行以下命令查看网桥br0的状态:
$ brctl show br0
bridge name bridge id STP enabled interfaces
br0 8000.b827eb99a031 no eth0
wlan0
$ifconfig br0
br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.99.90 netmask 255.255.255.0 broadcast 192.168.99.255
inet6 fe80::ba27:ebff:fe99:a031 prefixlen 64 scopeid 0x20<link>
执行以下命令,验证和查看wlan0网卡上的热点状态,在返回的内容里,看到【ssid wifi_ssid】,即为热点正常启动。
$sudo iw wlan0 info
Interface wlan0
ifindex 3
wdev 0x1
addr b8:27:eb:cc:f5:64
ssid wifi_ssid
type AP
wiphy 0
channel 6 (2437 MHz), width: 20 MHz, center1: 2437 MHz
txpower 31.00 dBm
重启和验证过网桥和热点信息后,扫描所在无线网络,果然看到名为“wifi_ssid”的接入点。从手机的WIFI设置上,选择加入该无线网络:
输入正确的接入点验证密码后,手机获得了树莓派网桥分配的IP地址:
此时只要登录树莓派,执行以下命令行,在 host参数里指定手机的IP地址,即可对该IP的所有流量进行精确抓包:
tshark -i br0 -w traffic_from_mobile.pcap 'host 192.168.99.114'
最后得到的 traffic_from_mobile.pcap
文件里就获得这台手机的完整流量了。
四、总结
从以上介绍可以看出,网络层抓包有各种可选方式,建议根据自己的需求和具体网络架构,选择适用的模式。另外也可以进行多种模式的叠加和串接,实现更灵活的抓包模式。
同时我们也要提醒一下:网络抓包有风险!不要贸然实施未获授权的抓包,可能会违法违规,以上方式只建议在实验和学习环境中使用。
最后,我们也再完整地总结一下上述三种方式的对比:
分流器(TAP) | 小交换机 | 迷你电脑 | |
---|---|---|---|
成本 | 最低大约50元 | 最低大约200元 | 最低大约220元 |
复杂程度 | 简单 | 简单 | 稍微复杂 |
适用位置 | 灵活 | 有线 | 无线\ |
缺陷 | 抓包机器需要两个网络接口 | 有源,需要额外配置 | 需要一定的动手能力 |
Ref
- J. Bullock, J T. Parker - Wireshark for security professionals1. Using a Raspberry Pi 3 as a WiFi Access Point and Bridge1. NetworkConfiguration1. RPI-Wireless-Hotspot