众所周知,抓包是很简单的一件事,像专业的wireshark,或者人性化的360天眼系统,只要安装软件,开启混杂模式就可以抓包。而在猎物中能否抓出违法者,确实很复杂很复杂的事情。
通过学习安全牛的渗透课程,在这里进行一个总结,以便后面学习和查看。
抓包的局限性,是由于我们分析工作的前提,是抓包软件对网络传输中的0、1串已经进行翻译,如果流量已经进行了加密,软件和人都无法进行解读,抓包分析工作就进入了窘境。所以抓包只能解决大多数情景下的简单情况/
打开Wireshark,进行相应的设置:
对抓包软件的结果分析时,不建议使用wireshark,因为它很不人性化。使用Windows平台下的OmniPeek,这是一个很不错的选择。现在破解版的OmniPeek已经有了11版本,具体还需要大家自行百度.
如果面临大量的数据包,那么可以进行抽样来减少工作量。先细工,再提高效率。
Network视图查看流量情况,查看建立大流量会话的ip、流量实时情况、协议类型等等。可以应对网络流量问题。
Nodes视图可以看到流量发送最多的ip,用于定位异常ip。接着查看其数据包就可以了。
Protocols可以查看协议,首先进行协议的筛选,把一些没有必要分析的数据全部剔除。比如重点关注Internet里面的数据包时,一些无关的数据包都可以丢弃。而对于SMTP、HTTP Proxy、syslog、FTP Data、SNMP、MSN Messenger、DNS、TNDSHTTP、TCP、UDP、FTP Control等协议数据包,是有价值而且有能力分析的。
回到nodes视图,可以把组播地址屏蔽掉。
summary可以查看流量统计信息。
进入专家系统,查看数据包中的五元组,及相应的payload等,大量的具体信息都在右键菜单里。
Request视图下,可以查看各种请求包。
针对具体的应用,有具体的分析。尤其是面对网络攻击,更是可以显出奇迹特效。
