[工具] Wireshark与相关的网络安全

一、筛选过滤器

筛选过滤器:也叫显示过滤器,是在抓包之后设置,是在所有的包都抓获后,再到其中进行筛选过滤。

1.设置方式

可以在输入框中实时添加过滤条件:

也可以在 分析->Display Filter中添加常用过滤条件:

2.在细节面板中选择过滤条件

我们选中一个数据包细节,可以将其作为过滤条件。

3.逻辑关系

在筛选过滤器中,可以使用逻辑关系来组织多个过滤条件:

and  # 与关系
or  # 或关系
not  # 非关系
&&  #
||  #
!  #

4.实例

1)IP过滤

过滤IP地址:

ip.addr == 192.168.4.199

过滤源和目的IP地址:

ip.src == 192.168.4.199
ip.dst == 192.168.4.199

按cidr过滤:

ip.addr == 192.168.4.0/24

2)端口过滤

按协议过滤端口:

tcp.port == 80
udp.port == 8888

使用端口过滤时,使用ip.src和ip.dst来表示方向:

tcp.port == 80 and ip.dst == 104.192.80.196
tcp.port == 27777 and ip.src == 192.168.4.199

二、捕获过滤器

捕获过滤器:在抓包之前就设置好,抓取的数据包都是满足过滤器规则的包,而不满足的部分不被抓取。保存下来的也是满足捕获过滤器的包。

1.捕获过滤器设置

在输入端口的选择界面,我们可以设置捕获过滤器。捕获过滤器支持BPF过滤规则,我们可以点击左边的绿色图标查看书写实例。

2.实例

 捕获目的端口为80的tcp报文:

tcp dst port 80

捕获目的主机为192.168.4.199的包:

ip dst host 192.168.4.199

 当然也可以组合起来使用:

ip dst host 192.168.4.199 and tcp port 80

三、文件输出

我们设置输出文件的格式和保存策略。

四、远程监控

我们可以使用wireshark对某台远程机器进行抓包(前提是设备网络互通)。

1.在远程机器上安装rpcapd服务

我们以一台CentOS7的虚拟机为例。

1)安装依赖

yum install gcc gcc-c++ glibc-static flex -y

2)下载源码

wget http://www.winpcap.org/install/bin/WpcapSrc_4_1_2.zip

3)安装

unzip WpcapSrc_4_1_2.zip
cd winpcap/wpcap/libpcap
chmod +x configure runlex.sh
CFLAGS=-static ./configure
make
cd rpcapd
make

4)运行

[root@centos7-test rpcapd]# pwd
/opt/winpcap/wpcap/libpcap/rpcapd
[root@centos7-test rpcapd]# ./rpcapd -n

-n表示不用验证。

2.在Wireshark中配置远程端口

然后就可以像监控本地网卡一样抓取远程机器的数据了(注意,抓取的数据中可能包含远程监控相关的业务无关数据,可以使用过滤器将其过滤掉)。

五、ARP欺骗拦截数据

假设在内网中,我们有一台Centos机器,当他向网关发送数据时,我们可以使用ARP欺骗的方式,用另外一台机器(例如kali)来截取数据流,并进行监控。

假设环境如下:

  被欺骗机器:CentOS7  192.168.4.211

  监控机器:Kali  192.168.4.146

  网关: 192.168.4.11

1.在kali上安装arpspoof

apt-get install dsniff -y

2.开启端口转发

echo 1 >/proc/sys/net/ipv4/ip_forward

3.开始欺骗(双向)

arpspoof -t 192.168.4.211  192.168.4.1  -i eth0

意思是,使用eth0的mac地址欺骗centos,让它以为这个mac地址是网关。而让网关以为这个mac地址是centos。

这样,他们所发给对方的数据,都会发给我们kali的eth0。此时我们可以开启wireshark工具来监控数据,并将数据转发出去,从而不影响数据传输,起到欺骗的作用。

4.验证结果

可以看到,我们在kali的eth0网卡上抓获到了centos ping百度的ICMP包,以及之前的DNS包。

六、MAC地址欺骗

MAC地址欺骗是指我们通过一些工具修改网卡的MAC地址,从而达到欺骗的目的。

1.安装macchanger

wget http://ftp.club.cc.cmu.edu/pub/gnu/macchanger/macchanger-1.6.0.tar.gz
tar xvfvz macchanger-1.6.0.tar.gz
cd macchanger-1.6.0 
./configure
make
sudo make install

2.使用macchanger修改网卡mac地址

1)查询厂商对应mac开头

[root@centos7-test macchanger-1.6.0]# macchanger -l | more
Misc MACs:
Num    MAC        Vendor
---    ---        ------
0000 - 00:00:00 - Xerox Corporation
0001 - 00:00:01 - Xerox Corporation
0002 - 00:00:02 - Xerox Corporation
0003 - 00:00:03 - Xerox Corporation
0004 - 00:00:04 - Xerox Corporation
0005 - 00:00:05 - Xerox Corporation
0006 - 00:00:06 - Xerox Corporation
0007 - 00:00:07 - Xerox Corporation
0008 - 00:00:08 - Xerox Corporation
0009 - 00:00:09 - Xerox Corporation
0010 - 00:00:0a - Omron Tateisi Electronics Co.
0011 - 00:00:0b - Matrix Corporation
0012 - 00:00:0c - Cisco Systems, Inc.
0013 - 00:00:0d - Fibronics Ltd.
0014 - 00:00:0e - Fujitsu Limited
0015 - 00:00:0f - Next, Inc.
0016 - 00:00:10 - Sytek Inc.
0017 - 00:00:11 - Normerel Systemes
0018 - 00:00:12 - Information Technology Limited
0019 - 00:00:13 - Camex
0020 - 00:00:14 - Netronix
...
...

我们可以从中任意找一个厂商的MAC地址来进行修改(非厂商的MAC头,修改的时候会报错)。

2)手工修改MAC地址

[root@centos7-test network-scripts]# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.4.211  netmask 255.255.255.0  broadcast 192.168.4.255
        inet6 fe80::20c:29ff:fec8:38de  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:c8:38:de  txqueuelen 1000  (Ethernet)
        RX packets 682  bytes 57687 (56.3 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 440  bytes 58027 (56.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.172.211  netmask 255.255.255.0  broadcast 192.168.172.255
        inet6 fe80::20c:29ff:fec8:38e8  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:c8:38:e8  txqueuelen 1000  (Ethernet)
        RX packets 29  bytes 1816 (1.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 24  bytes 1716 (1.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 141  bytes 9752 (9.5 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 141  bytes 9752 (9.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

可以看到网卡eth1的mac地址为00:0c:29:c8:38:e8,我们将其进行手工修改:

# 先关闭网卡eth1
ifconfig eth1 down
[root@centos7-test network-scripts]# macchanger -m 00:00:0c:22:22:22 eth1
Current MAC:   00:0c:29:c8:38:e8 (Vmware, Inc.)
Permanent MAC: 00:0c:29:c8:38:e8 (Vmware, Inc.)
New MAC:       00:00:0c:22:22:22 (Cisco Systems, Inc.)

00:00:0c开头的mac是思科公司的。可以看到新的mac地址已经修改成功。

启动网卡:

[root@centos7-test network-scripts]# ifconfig eth1 up

查看eth1的mac地址:

[root@centos7-test network-scripts]# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.4.211  netmask 255.255.255.0  broadcast 192.168.4.255
        inet6 fe80::20c:29ff:fec8:38de  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:c8:38:de  txqueuelen 1000  (Ethernet)
        RX packets 894  bytes 75559 (73.7 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 567  bytes 76083 (74.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.172.211  netmask 255.255.255.0  broadcast 192.168.172.255
        inet6 fe80::200:cff:fe22:2222  prefixlen 64  scopeid 0x20<link>
        ether 00:00:0c:22:22:22  txqueuelen 1000  (Ethernet)
        RX packets 44  bytes 2716 (2.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 42  bytes 3112 (3.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 151  bytes 10252 (10.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 151  bytes 10252 (10.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

可以看到,mac地址已经生效。

这里需要注意,如果我们重启机器,mac会恢复原来的值,也就是说这个新的mac地址是临时生效的。

七、MAC地址泛洪

1.mac泛洪的概念

我们知道,二层交换机是通过mac表来记录端口所对应主机mac地址来进行转发数据包的。一般来说一个端口对应一个主机mac地址。

当我们在一个主机上频繁的更改mac地址并向交换机发送数据,交换机就会在自己的mac表中记录大量的mac地址,并对应同一个端口,这就是mac泛洪攻击。

2.使用macof工具进行泛洪攻击

在kali linux中,自带macof工具。

macof -i eth0

kali linux在执行这条命令后,会使用大量不同源mac地址的包,发送到交换机。交换机会自动学习这些mac将其添加到自己的mac表中,从而导致运行缓慢。

八、SYN泛洪攻击(DOS)

DOS:Denial of Service 拒绝服务。

DDOS:分布式拒绝服务,即通过许多不同源IP的主机对被攻击目标进行DOS攻击。

1.在内网中使用hping3工具模拟SYN泛洪

在kali linux中已经默认安装了hping3工具。我们准备一台测试机,安装并启动httpd服务,默认监听端口为80。

1)在kali linux上使用hping3开始SYN泛洪攻击

root@kali:~# hping3 -q -n --rand-source -S -p 80 --flood 192.168.4.211
HPING 192.168.4.211 (eth0 192.168.4.211): S set, 40 headers + 0 data bytes
hping in flood mode, no replies will be shown

2)在kali linux上使用wireshark抓包

 

可以看到,kali linux伪造了大量的源IP地址和源port,对测试机(IP:192.168.4.211)发送了TCP三次握手中的SYN包,进行了SYN泛洪攻击。

3)在测试机上查看端口状态

[root@centos7-test var]# netstat -pantu
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1337/sshd           
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1519/master         
tcp        0      0 192.168.4.211:80        162.241.14.228:55506    SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        1.223.49.135:37853      SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        176.19.139.122:37676    SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        165.110.76.249:39887    SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        175.173.235.55:41574    SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        8.156.177.84:38212      SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        112.203.133.84:7726     SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        209.167.205.134:50449   SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        43.30.195.229:6177      SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        165.112.212.184:27822   SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        20.84.141.212:33620     SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        120.137.220.165:33629   SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        157.152.229.165:38214   SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        52.202.112.86:21452     SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        104.53.195.244:4465     SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        62.43.14.245:6178       SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        131.104.165.134:4657    SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        14.252.63.168:38837     SYN_RECV    -                   
tcp        0      0 192.168.4.211:80        249.90.43.223:39888     SYN_RECV    -...
...

可以看到,测试机的80端口与大量陌生IP正在建立TCP握手,目前状态是SYN_RECV,也就是收到SYN包后,回复了SYN+ACK包,正在等待服务器回复ACK包。

4)使用流量图查看

直接查看wireshark抓到的包不是很直观,我们可以使用wireshark提供的统计功能的流量图来查看:

在wireshark的菜单栏中:统计->流量图

 

从这个流量图中可以看到每一个包的流向,为抓包方便上图是在kali linux上的截图,所以无法看到SYN+ACK包从80端口发出去(需要在测试机上使用wireshark抓包)。

5)直观感受

由于本次模拟SYN泛洪攻击是在内网中进行,由于hping3工具在短时间内发送了大量SYN包,交换机性能有限,除了测试器的httpd应用受到了也影响,处于同一局域网的其他主机也受到了网络访问不正常的影响。

2.SYN泛洪攻击的防范

TCP SYN Flooding的防御一般有一下方式:

1)丢弃第一个SYN包

TCP SYN泛洪攻击发送的SYN包,一般每个伪造源IP只会发送一个SYN包,所以丢弃每个源IP地址对应的第一个SYN包可以达到避免泛洪攻击的目的。

缺点是用户体验比较差,因为正常的用户请求始终要发送两次SYN包才能成功建立TCP连接。当泛洪攻击每一个SYN包发送两次时,这种防御方式就失效了。

2)反向探测

当收到某个SYN包时,服务器不会直接返回SYN+ACK包,而是先发送一个用于反向探测的SYN包来确定源IP和端口的合法性(即是否在线,对面返回SYN+ACK)。如果对方合法,服务器再回复正确的SYN+ACK包。

3)代理模式

使用防火墙代理与来源地址进行TCP连接,当正常建立连接后,防火墙再和后面的服务器进行连接,并代理业务数据。

九、wireshark的辅助工具

1.tshark

1)安装tshark

yum install wireshark -y

wireshark中自带tshark,tshark相当于wireshark的命令行版本。

2)tshark的简单使用

查看网卡信息:

[root@centos7-test ~]# tshark -D
1. eth0
2. nflog
3. nfqueue
4. any
5. lo (Loopback)

-D表示查看所有网卡信息。

选择网卡进行抓包:

[root@centos7-test ~]# tshark -i 1
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
  1 0.000000000 192.168.4.199 -> 192.168.4.211 TCP 60 25411 > ssh [ACK] Seq=1 Ack=1 Win=4100 Len=0
  2 0.205784243 192.168.4.42 -> 239.255.255.250 SSDP 215 M-SEARCH * HTTP/1.1 

-i表示选择一个网卡抓取数据,后面跟网卡的编号或网卡名。

使用捕获过滤器:

[root@centos7-test ~]# tshark -i eth0 -f 'tcp dst port 80'
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
  1 0.000000000 192.168.4.199 -> 119.23.117.50 TCP 60 24009 > http [ACK] Seq=1 Ack=1 Win=32768 Len=0
  2 0.163997710 192.168.4.199 -> 119.23.117.50 TCP 60 24009 > http [ACK] Seq=1 Ack=53 Win=32716 Len=0

-f表示使用的抓包过滤器(伯克利规则)。这里表示抓取目标端口为80的TCP包。

输出到结果文件:

[root@centos7-test ~]# sudo tshark -i eth0 -f 'tcp dst port 80' -w test.cap
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
74 

-w表示要输出结果到文件,74表示已经抓取的包个数。(要先建立文件,否则无法输出到文件)

打开文件:

[root@centos7-test ~]# tshark -r test.cap 
Running as user "root" and group "root". This could be dangerous.
  1 0.000000000 192.168.4.199 -> 119.23.117.50 TCP 60 24009 > http [ACK] Seq=1 Ack=1 Win=32033 Len=0
  2 0.055727418 192.168.4.199 -> 119.23.117.50 TCP 60 24009 > http [ACK] Seq=1 Ack=2841 Win=32768 Len=0
...
...

-r表示打开一个文件,当然也可以使用wireshark图形化界面打开。

3)tshark总结

tshark是wireshark的命令行工具,基本覆盖了wireshark的所有功能,但是相对于图形化界面,在数据分析的时候可能不是那么方便和直观。

我们可以在Shell编程中使用tshark进行抓包和数据分析,如果要详细研究抓到的数据包,则可以在图形化界面中去查看分析。

2.dumpcap

类似于tshark,消耗的资源更少,使用方式基本和tshark一样。例如:

[root@centos7-test ~]# dumpcap -D
1. eth0
2. nflog
3. nfqueue
4. any
5. lo (Loopback)
[root@centos7-test ~]# dumpcap -i 1 -f 'tcp dst port 80'
Capturing on 'eth0'
File: /tmp/wireshark_pcapng_eth0_20200601000408_7YVBr1
Packets captured: 11
Packets received/dropped on interface 'eth0': 11/0 (pcap:0/dumpcap:0/flushed:0) (100.0%)

和tshark不同的是,dumpcap会默认将数据保存到一个文件中。我们可以使用wireshark打开分析。

3.editcap

editcap主要用于处理已经抓到的数据包文件。

先用tshark抓取一些数据包,存放到infile.cap文件中:

[root@centos7-test ~]# tshark -w infile.cap
Running as user "root" and group "root". This could be dangerous.
Capturing on 'eth0'
7279

然后使用editcap取其中一些数据包,存放到outfile.cap中:

[root@centos7-test ~]# editcap -r infile.cap outfile.cap 1-10
Add_Selected: 1-10
Inclusive ... 1, 10

注意,这里要使用-r选项,否则infile.cap会被自动删除。

将一个数据包文件按数据包个数分割成多个文件:

[root@centos7-test ~]# editcap -c 2 outfile.cap split.cap   
[root@centos7-test ~]# ls
anaconda-ks.cfg  outfile.cap                     split_00001_20200601232202.cap  split_00003_20200601232202.cap  test.cap
infile.cap       split_00000_20200601232202.cap  split_00002_20200601232202.cap  split_00004_20200601232202.cap

可以看到,outfile.cap被分割成了5个文件。

删除数据包中重复的数据:

[root@centos7-test ~]# editcap -d infile.cap distinct.cap
7279 packets seen, 0 packets skipped with duplicate window of 5 packets.

可以看到,infile.cap中没有重复数据包。

4.mergecap

mergecap的主要功能就是合并数据包文件。

[root@centos7-test ~]# mergecap -w merged.cap split_*

5.capinfos

capinfos可以查看抓取到的数据包文件的信息:

[root@centos7-test ~]# capinfos infile.cap 
File name:           infile.cap
File type:           Wireshark/... - pcapng
File encapsulation:  Ethernet
Packet size limit:   file hdr: (not set)
Number of packets:   7,279 
File size:           5,367 kB
Data size:           5,127 kB
Capture duration:    4 seconds
Start time:          Mon Jun  1 23:22:02 2020
End time:            Mon Jun  1 23:22:06 2020
Data byte rate:      1,398 kBps
Data bit rate:       11 Mbps
Average packet size: 704.39 bytes
Average packet rate: 1,984 packets/sec
SHA1:                5bc7aeb752fb07b3b2cf35642d2b89575ec2ceac
RIPEMD160:           a0ffbbfdc9960fb9e5cd65a114ab7f2c9d200899
MD5:                 95c236564492e569ec8b58d12fe23d39
Strict time order:   True

 

 

 

====

 

posted @ 2020-05-27 10:31  风间悠香  阅读(1218)  评论(0编辑  收藏  举报