『壹』 如何查看tshark 是否支持lua
centos下安裝wireshark相當簡單.兩條命令就夠了.這里.主要是記錄寫使用方面的東西
安裝:
1、yum install wireshark。注意這樣並無法使用wireshark命令和圖形界面。但提供了抓包基本功能。
2、yum install wireshark-gnome。這樣就可以方便的使用了。
如果能登錄圖形界面終端.那使用和windows下的無區別.但我們的伺服器都在國外.要管理的話都是SSH登錄只能用命令行了。使用wireshark的命令行工具tshark,在安裝的時候會默認給安裝上的,使用方法很簡單,要捕捉包: tshark -wpacket.txt -i etho -q 這樣就會把捕捉到的網路包存放在packet.txt文件裡面,要查看詳情的話: tshark -rpacket.txt -x -V|more即可.
下面理一下所有參數的作用:
-a
設置一個標准用來指定Wireshark什麼時候停止捕捉文件。標準的格式為 test:value,test值為下面中的一個。
ration:value
當捕捉持續描述超過Value值,停止寫入捕捉文件。
filesize:value
當捕捉文件大小達到Value值kilobytes(kilobytes表示1000bytes,而不是1024 bytes),停止寫入捕捉文件。如果該選項和-b選項同時使用,Wireshark在達到指定文件大小時會停止寫入當前捕捉文件,並切換到下一個文件。
files:value
當文件數達到Value值時停止寫入捕捉文件
-b
如果指定捕捉文件最大尺寸,因為Wireshark運行在」ring buffer」模式,被指定了文件數。在」ring buffer」模式下,Wireshark 會寫到多個捕捉文件。它們的名字由文件數和創建日期,時間決定。
當第一個捕捉文件被寫滿,Wireshark會跳轉到下一個文件寫入,直到寫滿最後一個文件,此時Wireshark會丟棄第一個文件的數據(除非將files設置為0,如果設置為0,將沒有文件數限制),將數據寫入該文件。
如果ration選項被指定,當捕捉持續時間達到指定值的秒數,Wireshark同樣會切換到下個文件,即使文件未被寫滿。
ration:value
當捕捉持續描述超過Value值,即使文件未被寫滿,也會切換到下個文件繼續寫入。
filesize:value
當文件大小達到value值kilobytes時(kelobyte表示1000bytes,而不是1024bytes),切換到下一個文件。
files:value
當文件數達到value值時,從第一個文件重新開始寫入。
-B
僅適合Win32:設置文件緩沖大小(單位是MB,默認是1MB).被捕捉驅動用來緩沖包數據,直到達到緩沖大小才寫入磁碟。如果捕捉時碰到丟包現象,可以嘗試增大它的大小。
-c
實時捕捉中指定捕捉包的最大數目,它通常在連接詞-k選項中使用。
-D
列印可以被Wireshark用於捕捉的介面列表。每個介面都有一個編號和名稱(可能緊跟在介面描述之後?)會被列印,介面名或介面編號可以提供給-i參數來指定進行捕捉的介面(這里列印應該是說在屏幕上列印)。
在那些沒有命令可以顯示列表的平台(例如Windows,或者缺少ifconfig -a命令的UNIX平台)這個命令很有用;介面編號在Windows 2000及後續平台的介面名稱通常是一些復雜字元串,這時使用介面編號會更方便點。
注意,」可以被Wireshark用於捕捉」意思是說:Wireshark可以打開那個設備進行實時捕捉;如果在你的平台進行網路捕捉需要使用有特殊許可權的帳號(例如root,Windows下的Administrators組),在沒有這些許可權的賬戶下添加-D不會顯示任何介面。參數
-f
設置捕捉時的內置過濾表達式
-g 在使用-r參數讀取捕捉文件以後,使用該參數跳轉到指定編號的包。
-h
-h選項請求Wireshark列印該版本的命令使用方法(前面顯示的),然後退出。
-i
設置用於進行捕捉的介面或管道。
網路介面名稱必須匹配Wireshark -D中的一個;也可以使用Wireshark -D顯示的編號,如果你使用UNIX,netstat -i或者ifconfig -a獲得的介面名也可以被使用。但不是所有的UNIX平台都支持-a,ifconfig參數。
如果未指定參數,Wireshark會搜索介面列表,選擇第一個非環回介面進行捕捉,如果沒有非環回介面,會選擇第一個環回介面。如果沒有介面,wireshark會報告錯誤,不執行捕捉操作。
管道名即可以是FIFO(已命名管道),也可以使用」-」讀取標准輸入。從管道讀取的數據必須是標準的libpcap格式。
-k
-k選項指定Wireshark立即開始捕捉。這個選項需要和-i參數配合使用來指定捕捉產生在哪個介面的包。
-l
打開自動滾屏選項,在捕捉時有新數據進入,會自動翻動」Packet list」面板(同-S參數一樣)。
-m
設置顯示時的字體(編者認為應該添加字體範例)
-n
顯示網路對象名字解析(例如TCP,UDP埠名,主機名)。
-N
對特定類型的地址和埠號打開名字解析功能;該參數是一個字元串,使用m可以開啟MAC地址解析,n開啟網路地址解析,t開啟傳輸層埠號解析。這些字元串在-n和-N參數同時存在時優先順序高於-n,字母C開啟同時(非同步)DNS查詢。
-o 設置首選項或當前值,覆蓋默認值或其他從Preference/recent file讀取的參數、文件。該參數的值是一個字元串,形式為 prefname:value,prefnmae是首選項的選項名稱(出現在preference/recent file上的名稱)。value是首選項參數對應的值。多個-o 可以使用在單獨命中中。
設置單獨首選項的例子:
wireshark -o mgcp.display_dissect_tree:TRUE
設置多個首選項參數的例子:
wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627-p
不將介面設置為雜收模式。注意可能因為某些原因依然出於雜收模式;這樣,-p不能確定介面是否僅捕捉自己發送或接受的包以及到該地址的廣播包,多播包
-Q
禁止Wireshark在捕捉完成時退出。它可以和-c選項一起使用。他們必須在出現在-i -w連接詞中。
-r
指定要讀取顯示的文件名。捕捉文件必須是Wireshark支持的格式。
-R
指定在文件讀取後應用的過濾。過濾語法使用的是顯示過濾的語法,,不匹配的包不會被顯示。
-s
設置捕捉包時的快照長度。Wireshark屆時僅捕捉每個包位元組的數據。
-S
Wireshark在捕捉數據後立即顯示它們,通過在一個進程捕捉數據,另一個進程顯示數據。這和捕捉選項對話框中的」Update list of packets in real time/實時顯示數據」功能相同。
-t
設置顯示時間戳格式。可用的格式有
r 相對的,設置所有包時間戳顯示為相對於第一個包的時間。
a absolute,設置所有包顯示為絕對時間。
ad 絕對日期,設置所有包顯示為絕對日期時間。
d delta 設置時間戳顯示為相對於前一個包的時間
e epoch 設置時間戳顯示為從epoch起的妙數(1970年1月1日 00:00:00起)
-v
請求Wireshark列印出版本信息,然後退出
-w
在保存文件時以savefile所填的字元為文件名。
-y
如果捕捉時帶有-k參數,-y將指定捕捉包中數據鏈接類型。The values reported by -L are the values that can be used.
-X
設置一個選項傳送給TShark 模塊。eXtension 選項使用extension_key:值形式,extension_key:可以是:
lua_script:lua_script_filename,它告訴Wireshark載入指定的腳本。默認腳本是Lua scripts.
-z
得到Wireshark的多種類型的統計信息,顯示結果在實時更新的窗口。
用LogParser分析WireShark的包
『貳』 Tcpmp 看這一篇就夠了
tcpmp 是一款強大的網路抓包工具,它使用 libpcap 庫來抓取網路數據包,這個庫在幾乎在所有的 Linux/Unix 中都有。熟悉 tcpmp 的使用能夠幫助你分析調試網路數據,本文將通過一個個具體的示例來介紹它在不同場景下的使用方法。不管你是系統管理員,程序員,雲原生工程師還是 yaml 工程師,掌握 tcpmp 的使用都能讓你如虎添翼,升職加薪。
tcpmp 的常用參數如下:
額外再介紹幾個常用參數:
-A 表示使用 ASCII 字元串列印報文的全部數據,這樣可以使讀取更加簡單,方便使用 grep 等工具解析輸出內容。 -X 表示同時使用十六進制和 ASCII 字元串列印報文的全部數據。這兩個參數不能一起使用。例如:
後面可以跟上協議名稱來過濾特定協議的流量,以 UDP 為例,可以加上參數 udp 或 protocol 17 ,這兩個命令意思相同。
同理, tcp 與 protocol 6 意思相同。
使用過濾器 host 可以抓取特定目的地和源 IP 地址的流量。
也可以使用 src 或 dst 只抓取源或目的地:
使用 tcpmp 截取數據報文的時候,默認會列印到屏幕的默認輸出,你會看到按照順序和格式,很多的數據一行行快速閃過,根本來不及看清楚所有的內容。不過,tcpmp 提供了把截取的數據保存到文件的功能,以便後面使用其他圖形工具(比如 wireshark,Snort)來分析。
-w 選項用來把數據報文輸出到文件:
如果想實時將抓取到的數據通過管道傳遞給其他工具來處理,需要使用 -l 選項來開啟行緩沖模式(或使用 -c 選項來開啟數據包緩沖模式)。使用 -l 選項可以將輸出通過立即發送給其他命令,其他命令會立即響應。
過濾的真正強大之處在於你可以隨意組合它們,而連接它們的邏輯就是常用的 與/AND/&& 、 或/OR/|| 和 非/not/!。
關於 tcpmp 的過濾器,這里有必要單獨介紹一下。
機器上的網路報文數量異常的多,很多時候我們只關系和具體問題有關的數據報(比如訪問某個網站的數據,或者 icmp 超時的報文等等),而這些數據只佔到很小的一部分。把所有的數據截取下來,從裡面找到想要的信息無疑是一件很費時費力的工作。而 tcpmp 提供了靈活的語法可以精確地截取關心的數據報,簡化分析的工作量。這些選擇數據包的語句就是過濾器(filter)!
Host 過濾器用來過濾某個主機的數據報文。例如:
該命令會抓取所有發往主機 1.2.3.4 或者從主機 1.2.3.4 發出的流量。如果想只抓取從該主機發出的流量,可以使用下面的命令:
Network 過濾器用來過濾某個網段的數據,使用的是 CIDR[2] 模式。可以使用四元組(x.x.x.x)、三元組(x.x.x)、二元組(x.x)和一元組(x)。四元組就是指定某個主機,三元組表示子網掩碼為 255.255.255.0,二元組表示子網掩碼為 255.255.0.0,一元組表示子網掩碼為 255.0.0.0。例如,
抓取所有發往網段 192.168.1.x 或從網段 192.168.1.x 發出的流量:
抓取所有發往網段 10.x.x.x 或從網段 10.x.x.x 發出的流量:
和 Host 過濾器一樣,這里也可以指定源和目的:
也可以使用 CIDR 格式:
Proto 過濾器用來過濾某個協議的數據,關鍵字為 proto,可省略。proto 後面可以跟上協議號或協議名稱,支持 icmp, igmp, igrp, pim, ah, esp, carp, vrrp, udp和 tcp。因為通常的協議名稱是保留欄位,所以在與 proto 指令一起使用時,必須根據 shell 類型使用一個或兩個反斜杠(/)來轉義。Linux 中的 shell 需要使用兩個反斜杠來轉義,MacOS 只需要一個。
例如,抓取 icmp 協議的報文:
Port 過濾器用來過濾通過某個埠的數據報文,關鍵字為 port。例如:
截取數據只是第一步,第二步就是理解這些數據,下面就解釋一下 tcpmp 命令輸出各部分的意義。
最基本也是最重要的信息就是數據報的源地址/埠和目的地址/埠,上面的例子第一條數據報中,源地址 ip 是 192.168.1.106,源埠是 56166,目的地址是 124.192.132.54,目的埠是 80。> 符號代表數據的方向。
此外,上面的三條數據還是 tcp 協議的三次握手過程,第一條就是 SYN 報文,這個可以通過 Flags [S] 看出。下面是常見的 TCP 報文的 Flags:
下面給出一些具體的例子,每個例子都可以使用多種方法來獲得相同的輸出,你使用的方法取決於所需的輸出和網路上的流量。我們在排障時,通常只想獲取自己想要的內容,可以通過過濾器和 ASCII 輸出並結合管道與 grep、cut、awk 等工具來實現此目的。
例如,在抓取 HTTP 請求和響應數據包時,可以通過刪除標志 SYN/ACK/FIN 來過濾雜訊,但還有更簡單的方法,那就是通過管道傳遞給 grep。在達到目的的同時,我們要選擇最簡單最高效的方法。下面來看例子。
從 HTTP 請求頭中提取 HTTP 用戶代理:
通過 egrep 可以同時提取用戶代理和主機名(或其他頭文件):
抓取 HTTP GET 流量:
也可以抓取 HTTP POST 請求流量:
注意:該方法不能保證抓取到 HTTP POST 有效數據流量,因為一個 POST 請求會被分割為多個 TCP 數據包。
上述兩個表達式中的十六進制將會與 GET 和 POST 請求的 ASCII 字元串匹配。例如,tcp[((tcp[12:1] & 0xf0) >> 2):4] 首先會確定我們感興趣的位元組的位置[3](在 TCP header 之後),然後選擇我們希望匹配的 4 個位元組。
提取 HTTP 請求的主機名和路徑:
從 HTTP POST 請求中提取密碼和主機名:
提取 Set-Cookie(服務端的 Cookie)和 Cookie(客戶端的 Cookie):
查看網路上的所有 ICMP 數據包:
通過排除 echo 和 reply 類型的數據包使抓取到的數據包不包括標準的 ping 包:
可以提取電子郵件的正文和其他數據。例如,只提取電子郵件的收件人:
抓取 NTP 服務的查詢和響應
通過 SNMP 服務,滲透測試人員可以獲取大量的設備和系統信息。在這些信息中,系統信息最為關鍵,如操作系統版本、內核版本等。使用 SNMP 協議快速掃描程序 onesixtyone,可以看到目標系統的信息:
當抓取大量數據並寫入文件時,可以自動切割為多個大小相同的文件。例如,下面的命令表示每 3600 秒創建一個新文件 capture-(hour).pcap,每個文件大小不超過 200*1000000 位元組:
這些文件的命名為 capture-{1-24}.pcap,24 小時之後,之前的文件就會被覆蓋。
可以通過過濾器 ip6 來抓取 IPv6 流量,同時可以指定協議如 TCP:
從之前保存的文件中讀取 IPv6 UDP 數據報文:
在下面的例子中,你會發現抓取到的報文的源和目的一直不變,且帶有標志位 [S] 和 [R],它們與一系列看似隨機的目標埠進行匹配。當發送 SYN 之後,如果目標主機的埠沒有打開,就會返回一個 RESET。這是 Nmap 等埠掃描工具的標准做法。
本例中 Nmap NSE 測試腳本 http-enum.nse 用來檢測 HTTP 服務的合法 URL。
在執行腳本測試的主機上:
在目標主機上:
向 Google 公共 DNS 發起的出站 DNS 請求和 A 記錄響應可以通過 tcpmp 抓取到:
抓取 80 埠的 HTTP 有效數據包,排除 TCP 連接建立過程的數據包(SYN / FIN / ACK):
通常 Wireshark(或 tshark)比 tcpmp 更容易分析應用層協議。一般的做法是在遠程伺服器上先使用 tcpmp 抓取數據並寫入文件,然後再將文件拷貝到本地工作站上用 Wireshark 分析。
還有一種更高效的方法,可以通過 ssh 連接將抓取到的數據實時發送給 Wireshark 進行分析。以 MacOS 系統為例,可以通過 brew cask install wireshark 來安裝,然後通過下面的命令來分析:
例如,如果想分析 DNS 協議,可以使用下面的命令:
抓取到的數據:
找出一段時間內發包最多的 IP,或者從一堆報文中找出發包最多的 IP,可以使用下面的命令:
cut -f 1,2,3,4 -d '.' : 以 . 為分隔符,列印出每行的前四列。即 IP 地址。
sort | uniq -c : 排序並計數
sort -nr : 按照數值大小逆向排序
本例將重點放在標准純文本協議上,過濾出於用戶名和密碼相關的報文:
最後一個例子,抓取 DHCP 服務的請求和響應報文,67 為 DHCP 埠,68 為客戶機埠。
本文主要介紹了 tcpmp 的基本語法和使用方法,並通過一些示例來展示它強大的過濾功能。將 tcpmp 與 wireshark 進行組合可以發揮更強大的功效,本文也展示了如何優雅順滑地結合 tcpmp 和 wireshark。如果你想了解更多的細節,可以查看 tcpmp 的 man 手冊。
『叄』 如何將用tshark命令行輸出的文件轉換成可以識別的編碼方式
需要一款漢王OCR軟體,如6800。如果沒有掃描儀的話,需要購進一款漢王6800(或更高的級別的)掃描儀,隨機贈送OCR軟體。 它能夠將掃描的文字直接導入到WORD中進行編輯。 Pdf轉化word 1. 第一步:先用Adobe Reader打開想轉換的PDF文件,接下來選擇「文件→列印」菜單,在打開的「列印」窗口中將「列印機」欄中的「名稱」設置為「Microsoft Office Document Image Writer」,確認後將該PDF文件輸出為MDI格式的虛擬列印文件。 第二步:運行Microsoft Office Document Imaging,並利用它來打開剛才保存的MDI文件,選擇「工具→將文本發送到Word」菜單,在彈出的窗口中選中「在輸出時保持圖片版式不變」,確認後系統會提示「必須在執行此操作前重新運行OCR。這可能需要一些時間」,不管它,確認即可。 2. 情況一:如果pdf文檔本身就是用pagemaker或word轉換而來的(文字非常清晰銳利,很容易識別),那你就方便了。你可以先用acrobat打開,然後點文件——>另存為——>把他保存成rtf文檔,這樣將把所有的pdf頁保存成rtf文檔,在用word打開。注意最好保存成rtf文檔,要不很有可能產生亂碼。小技巧:如果你只想識別pdf文件中的其中幾頁,那你可以現把那幾頁另存為新的pdf文檔,再進行識別。Ny1 情況二:如果你所得到的pdf文檔是用掃描儀掃進去的圖片轉換的,那麼就麻煩了,不過還是比手輸入快多了,所以繼續往下看。首先你用acrobat把pdf文件打開,然後點文件——>另存為——>把他保存成圖片格式*.tiff(這是無壓縮圖片格式,以便識別),然後到網上下載文字識別軟體,建議用尚書六號(現在好像出到七號了,很有名,隨處都可以下到),安裝好後,打開轉換好的tiff圖片,點擊識別,看,文字出來了吧,尚書系列文字識別軟體功能十分強大,你可以在裡面把文字都編輯好了,再保存成rtf或txt文件,然後粘貼到word里就可以使用了,注意過濾回車符。希望你能採納O(∩_∩)O謝謝
『肆』 如何用tshark,wireshark命令行獲取請求
Ethereal的玩法如大多sniffer。更有趣之處在於它提供了命令行的抓包程序tethereal(現在改名為tshark)等一系列命令行工具,能夠無縫地融入unix/windows腳本語言,使嗅探、分析的工作更得強援。
tethereal/tshark位於圖形化軟體的相同目錄內。和大多數unix腳本一樣,它都提供了比較翔實的manpage(個人認為,可惜例子還是少了一點)。
『伍』 Kali Linux 無線滲透測試入門指南 第二章 WLAN 和固有的不安全性
沒有什麼偉大的東西能在脆弱的基礎上構建。在我們的語境中,固有的不安全性之上不能構建出安全。
WLAN 在設計上擁有特定的不安全性,它們可被輕易利用,例如,通過封包注入,以及嗅探(能夠在很遠處進行)。我們會在這一章利用這些缺陷。
由於這本書處理無線方面的安全,我們假設你已經對協議和封包的頭部有了基本的了解。沒有的話,或者你離開無線有很長時間了,現在是個好機會來回顧這個話題。
讓我們現在快速復習一些 WLAN 的基本概念,大多數你可能已經知道了。在 WLAN 中,通信以幀的方式進行,一幀會擁有下列頭部結構:
Frame Control 欄位本身擁有更復雜的結構:
類型欄位定義了下列三種 WLAN 幀:
我們在之後的章節中討論不同攻擊的時候,會討論這些幀中每一種的安全隱患。
我們現在看一看如何使用 Wireshark 嗅探無線網路上的這些幀。也有其他工具 -- 例如 Airomp-NG,Tcpmp,或者 Tshark -- 你同樣可以用於嗅探。我們在這本書中多數情況會使用 Wireshark,但是我們推薦你探索其它工具。第一步是創建監控模式的介面。這會為你的適配器創建介面,使我們可以讀取空域中的所有無線幀,無論它們的目標是不是我們。在有線的世界中,這通常叫做混合模式。
讓我們現在將無線網卡設為監控模式。
遵循下列指南來開始:
我們成功創建了叫做 mon0 的監控模式介面。這個介面用於嗅探空域中的無線封包。這個介面已經在我們的無線適配器中創建了。
可以創建多個監控模式的介面,使用相同的物理網卡。使用 airmon-ng 工具來看看如何完成。
太棒了!我們擁有了監控模式介面,等待從空域中讀取一些封包。所以讓我們開始吧。
下一個練習中,我們會使用 Wireshark 和剛剛創建的 mon0 監控器模式介面,從空域中嗅探封包。
遵循下列指南來開始:
觀察封包中不同的頭部欄位,並將它們和之前了解的 WLAN 幀類型以及子類型關聯。
我們剛剛從空域中嗅探了第一組封包。我們啟動了 Wireshark,它使用我們之前創建的監控模式介面 mon0 。通過查看 Wireshark 的底部區域,你應該注意到封包捕獲的速度以及目前為止捕獲的封包數量。
Wireshark 的記錄有時會令人生畏,即使在構成合理的無線網路中,你也會嗅探到數千個封包。所以深入到我們感興趣的封包十分重要。這可以通過使用 Wireshark 中的過濾器來完成。探索如何使用這些過濾器來識別記錄中唯一的無線設備 -- 接入點和無線客戶端。
如果你不能做到它,不要著急,它是我們下一個要學的東西。
現在我們學習如何使用 WIreshark 中的過濾器來查看管理、控制和數據幀。
請逐步遵循下列指南:
我們剛剛學習了如何在 Wireshark 中,使用多種過濾器表達式來過濾封包。這有助於監控來自我們感興趣的設備的所選封包,而不是嘗試分析空域中的所有封包。
同樣,我們也可以以純文本查看管理、控制和數據幀的封包頭部,它們並沒有加密。任何可以嗅探封包的人都可以閱讀這些頭部。要注意,黑客也可能修改任何這些封包並重新發送它們。協議並不能防止完整性或重放攻擊,這非常易於做到。我們會在之後的章節中看到一些這類攻擊。
你可以查閱 Wireshark 的手冊來了解更多可用的過濾器表達式,以及如何使用。嘗試玩轉多種過濾器組合,直到你對於深入到任何細節層級都擁有自信,即使在很多封包記錄中。
下個練習中,我們會勘察如何嗅探我們的接入點和無線客戶端之間傳輸的數
據封包。
這個練習中,我們會了解如何嗅探指定無線網路上的封包。出於簡單性的原因,我們會查看任何沒有加密的封包。
遵循下列指南來開始:
我們剛剛使用 WIreshark 和多種過濾器嗅探了空域中的數據。由於我們的接入點並沒有使用任何加密,我們能夠以純文本看到所有數據。這是重大的安全問題,因為如果使用了類似 WIreshark 的嗅探器,任何在接入點 RF 范圍內的人都可以看到所有封包。
使用 WIreshark 進一步分析數據封包。你會注意 DHCP 請求由客戶端生成,並且如果 DHCP 伺服器可用,它會返回地址。之後你會發現 ARP 封包和其它協議的封包。這樣來被動發現無線網路上的主機十分簡單。能夠看到封包記錄,並重構出無線主機上的應用如何和網路的其餘部分通信十分重要。Wireshark 所提供的有趣的特性之一,就是跟蹤流的能力。這允許你一起查看多個封包,它們是相同連接中的 TCP 數據交換。
此外,嘗試登陸 www.gmail.com 和其它流行站點並分析生成的數據流量。
我們會演示如何向無線網路中注入封包。
我們使用 aireplay-ng 工具來進行這個練習,它在 Kali 中自帶。
遵循下列指南來開始:
我們剛剛使用 aireplay-ng,成功向我們的測試環境網路注入了封包。要注意我們的網卡將這些任意的封包注入到網路中,而不需要真正連接到無線接入點 Wireless Lab 。
我們會在之後的章節中詳細了解封包注入。現在請探索一下 Aireplay-ng 工具用於注入封包的其它選項。你可以使用 Wireshark 監控空域來驗證注入是否成功。
WLAN 通常在三種不同頻率范圍內工作:2.4 GHz,3.6 GHz 和 4.9/5.0 GHz。並不是所有 WIFI 網卡都全部支持這三種范圍和相關的波段。例如,Alfa 網卡只支持 IEEE 802.11b/g。這就是說,這個網卡不能處理 802.11a/n。這里的關鍵是嗅探或注入特定波段的封包。你的 WIFI 網卡需要支持它。
另一個 WIFI 的有趣方面是,在每個這些波段中,都有多個頻道。要注意你的 WIFI 網卡在每個時間點上只能位於一個頻道。不能將網卡在同一時間調整為多個頻道。這就好比車上的收音機。任何給定時間你只能將其調整為一個可用的頻道。如果你打算聽到其它的東西,你需要修改頻道。WLAN 嗅探的原則相同。這會產生一個很重要的結論 -- 我們不能同時嗅探所有頻道,我們只能選擇我們感興趣的頻道。這就是說,如果我們感興趣的接入點的頻道是 1,我們需要將網卡設置為頻道 1。
雖然我們在上面強調了 WLAN 嗅探,注入的原則也相同。為了向特定頻道注入封包,我們需要將網卡調整為特定頻道。
讓我們現在做一些練習,設置網卡來制定頻道或進行頻道跳躍,設置規范域以及功率等級,以及其它。
仔細遵循以下步驟:
我們知道了,無線嗅探和封包注入依賴於硬體的支持。這即是說我們只能處理網卡支持的波段和頻道。此外,無線網卡每次只能位於一個頻道。這說明了我們只能一次嗅探或注入一個頻道。
WIFI 的復雜性到這里並沒有結束。每個國家都有自己的未授權的頻譜分配策略。這規定了允許的功率等級和頻譜的用戶。例如,FCC 規定,如果你在美國使用 WLAN,你就必須遵守這些規定。在一些國家,不遵守相關規定會收到懲罰。
現在讓我們看看如何尋找默認的規范設置,以及如何按需修改它們。
仔細遵循以下步驟:
每個國家都有用於未授權無線波段的自己的規范。當我們將規范域設置為特定國家時,我們的網卡會遵循允許的頻道和指定的功率等級。但是,嗅探網卡的規范域,來強制它工作在不允許的頻道上,以及在高於允許值的功率等級上傳輸數據相當容易。
查看你可以設置的多種參數,例如頻道、功率、規范域,以及其它。在 Kali 上使用 iw 命令集。這會讓你深刻了解在不同國家的時候如何配置網卡,以及修改網卡設置。
Q1 哪種幀類型負責在 WLAN 中的驗證?
Q2 使用 airmon-mg 在 wlan0 上創建的第二個監控器模式介面的名字是什麼?
Q3 用於在 Wireshark 中查看非信標的過濾器表達式是什麼?
這一章中,我們對 WLAN 協議進行了一些重要的觀察。
管理、控制和數據幀是未加密的,所以監控空域的人可以輕易讀取。要注意數據封包載荷可以使用加密來保護,使其更加機密。我們在下一章討論它們。
我們可以通過將網卡設置為監控模式來嗅探附近的整個空域。
由於管理和控制幀沒有完整性保護,使用例如 aireplay-ng 的工具通過監控或照舊重放它們來注入封包非常容易。
未加密的數據封包也可以被修改和重放到網路中。如果封包加密了,我們仍然可以照舊重放它們,因為 WLAN 設計上並沒有保護封包重放。
下一章中,我們會看一看用於 WLAN 的不同驗證機制,例如 MAC 過濾和共享驗證,以及其它。並且通過實際的演示來理解多種安全缺陷。
『陸』 請教tshark源碼整合
tshark是wireshark的指令形式,有些情況下抓取網路包但是不想調用圖形界面時,可以用tshark
1、下載libpcap源代碼
http://www.tcpmp.org/
libpcap-x.x.x.tar.gz libpcap安裝源文件
2. 解壓縮libpcap
tar zxvf libpcap-x.x.x.tar.gz
進入到解壓縮後的文件夾中 cd libpcap- x.x.x
3. 安裝flex
apt-get install flex
4. 安裝bison
apt-get install biso
5. 安裝libpcap
./configure
make
make install
6. 安裝tshark
apt-get install tshark
7、指令應用
tshark是wireshark命令行形式
1)指定要監聽的介面
-i <介面名稱>
比如-i eth2.如果不用-i指定監聽的介面,則默認為介面列表中第一個非回環介面(-D列印介面列表)
2)可監聽的介面列表
-D 列印介面列表
3)設置cap過濾條件
-f <過濾參數設置>
A. 設置監聽的協議類型:-f udp/tcp/http 註:協議類型必須為小寫
B. 設置源ip: -f「src host x.x.x.x」
C. 設置源埠: -f「src port xx」
D. 設置源ip和源埠: -f 「srchost x.x.x.x and src port xx」
E. 設置目的ip: -f「dst host x.x.x.x」
F. 設置目的埠: -f「dst port xx」
G. 設置目的ip和埠: -f 「dsthost x.x.x.x and port xx」
註:設置ip或埠時,必須用雙引號
4)設置抓包數
-c <包數量> ,比如-c 15 表示抓15個包就停止
5) 設置cap包容量
-a filesize:NUM
其中NUM為filesize的包容量,用此命令需要用-w命令指定保存的文件包。NUM單位為KB
6)保存文件
-w <文件名稱>
-w後面是要保存到的文件名字,也可以指定路徑
7) 在屏幕中顯示抓包的內容
-S
8)指定數據包的最大長度
-s <數據包長度>,單位為bytes
其他指令請參照在線幫助
『柒』 怎麼關閉掉wireshark的register.c的自動生成
centos下安裝wireshark相當簡單.兩條命令就夠了.這里.主要是記錄寫使用方面的東西安裝:1、yuminstallwireshark。注意這樣並無法使用wireshark命令和圖形界面。但提供了抓包基本功能。2、yuminstallwireshark-gnome。這樣就可以方便的使用了。如果能登錄圖形界面終端.那使用和windows下的無區別.但我們的伺服器都在國外.要管理的話都是SSH登錄只能用命令行了。使用wireshark的命令行工具tshark,在安裝的時候會默認給安裝上的,使用方法很簡單,要捕捉包:tshark-wpacket.txt-ietho-q這樣就會把捕捉到的網路包存放在packet.txt文件裡面,要查看詳情的話:tshark-rpacket.txt-x-V|more即可.下面理一下所有參數的作用:-a設置一個標准用來指定Wireshark什麼時候停止捕捉文件。標準的格式為test:value,test值為下面中的一個。ration:value當捕捉持續描述超過Value值,停止寫入捕捉文件。filesize:value當捕捉文件大小達到Value值kilobytes(kilobytes表示1000bytes,而不是1024bytes),停止寫入捕捉文件。如果該選項和-b選項同時使用,Wireshark在達到指定文件大小時會停止寫入當前捕捉文件,並切換到下一個文件。files:value當文件數達到Value值時停止寫入捕捉文件-b如果指定捕捉文件最大尺寸,因為Wireshark運行在」ringbuffer」模式,被指定了文件數。在」ringbuffer」模式下,Wireshark會寫到多個捕捉文件。它們的名字由文件數和創建日期,時間決定。當第一個捕捉文件被寫滿,Wireshark會跳轉到下一個文件寫入,直到寫滿最後一個文件,此時Wireshark會丟棄第一個文件的數據(除非將files設置為0,如果設置為0,將沒有文件數限制),將數據寫入該文件。如果ration選項被指定,當捕捉持續時間達到指定值的秒數,Wireshark同樣會切換到下個文件,即使文件未被寫滿。ration:value當捕捉持續描述超過Value值,即使文件未被寫滿,也會切換到下個文件繼續寫入。filesize:value當文件大小達到value值kilobytes時(kelobyte表示1000bytes,而不是1024bytes),切換到下一個文件。files:value當文件數達到value值時,從第一個文件重新開始寫入。-B僅適合Win32:設置文件緩沖大小(單位是MB,默認是1MB).被捕捉驅動用來緩沖包數據,直到達到緩沖大小才寫入磁碟。如果捕捉時碰到丟包現象,可以嘗試增大它的大小。-c實時捕捉中指定捕捉包的最大數目,它通常在連接詞-k選項中使用。-D列印可以被Wireshark用於捕捉的介面列表。每個介面都有一個編號和名稱(可能緊跟在介面描述之後?)會被列印,介面名或介面編號可以提供給-i參數來指定進行捕捉的介面(這里列印應該是說在屏幕上列印)。在那些沒有命令可以顯示列表的平台(例如Windows,或者缺少ifconfig-a命令的UNIX平台)這個命令很有用;介面編號在Windows2000及後續平台的介面名稱通常是一些復雜字元串,這時使用介面編號會更方便點。注意,」可以被Wireshark用於捕捉」意思是說:Wireshark可以打開那個設備進行實時捕捉;如果在你的平台進行網路捕捉需要使用有特殊許可權的帳號(例如root,Windows下的Administrators組),在沒有這些許可權的賬戶下添加-D不會顯示任何介面。參數-f設置捕捉時的內置過濾表達式-g在使用-r參數讀取捕捉文件以後,使用該參數跳轉到指定編號的包。-h-h選項請求Wireshark列印該版本的命令使用方法(前面顯示的),然後退出。-i設置用於進行捕捉的介面或管道。網路介面名稱必須匹配Wireshark-D中的一個;也可以使用Wireshark-D顯示的編號,如果你使用UNIX,netstat-i或者ifconfig-a獲得的介面名也可以被使用。但不是所有的UNIX平台都支持-a,ifconfig參數。如果未指定參數,Wireshark會搜索介面列表,選擇第一個非環回介面進行捕捉,如果沒有非環回介面,會選擇第一個環回介面。如果沒有介面,wireshark會報告錯誤,不執行捕捉操作。管道名即可以是FIFO(已命名管道),也可以使用」-」讀取標准輸入。從管道讀取的數據必須是標準的libpcap格式。-k-k選項指定Wireshark立即開始捕捉。這個選項需要和-i參數配合使用來指定捕捉產生在哪個介面的包。-l打開自動滾屏選項,在捕捉時有新數據進入,會自動翻動」Packetlist」面板(同-S參數一樣)。-m設置顯示時的字體(編者認為應該添加字體範例)-n顯示網路對象名字解析(例如TCP,UDP埠名,主機名)。-N對特定類型的地址和埠號打開名字解析功能;該參數是一個字元串,使用m可以開啟MAC地址解析,n開啟網路地址解析,t開啟傳輸層埠號解析。這些字元串在-n和-N參數同時存在時優先順序高於-n,字母C開啟同時(非同步)DNS查詢。-o設置首選項或當前值,覆蓋默認值或其他從Preference/recentfile讀取的參數、文件。該參數的值是一個字元串,形式為prefname:value,prefnmae是首選項的選項名稱(出現在preference/recentfile上的名稱)。value是首選項參數對應的值。多個-o可以使用在單獨命中中。設置單獨首選項的例子:wireshark-omgcp.display_dissect_tree:TRUE設置多個首選項參數的例子:wireshark-omgcp.display_dissect_tree:TRUE-omgcp.udp.callagent_port:2627-p不將介面設置為雜收模式。注意可能因為某些原因依然出於雜收模式;這樣,-p不能確定介面是否僅捕捉自己發送或接受的包以及到該地址的廣播包,多播包-Q禁止Wireshark在捕捉完成時退出。它可以和-c選項一起使用。他們必須在出現在-i-w連接詞中。-r指定要讀取顯示的文件名。捕捉文件必須是Wireshark支持的格式。-R指定在文件讀取後應用的過濾。過濾語法使用的是顯示過濾的語法,,不匹配的包不會被顯示。-s設置捕捉包時的快照長度。Wireshark屆時僅捕捉每個包位元組的數據。-SWireshark在捕捉數據後立即顯示它們,通過在一個進程捕捉數據,另一個進程顯示數據。這和捕捉選項對話框中的」Updatelistofpacketsinrealtime/實時顯示數據」功能相同。-t設置顯示時間戳格式。可用的格式有r相對的,設置所有包時間戳顯示為相對於第一個包的時間。aabsolute,設置所有包顯示為絕對時間。ad絕對日期,設置所有包顯示為絕對日期時間。ddelta設置時間戳顯示為相對於前一個包的時間eepoch設置時間戳顯示為從epoch起的妙數(1970年1月1日00:00:00起)-v請求Wireshark列印出版本信息,然後退出-w在保存文件時以savefile所填的字元為文件名。-y如果捕捉時帶有-k參數,-y將指定捕捉包中數據鏈接類型。Thevaluesreportedby-Larethevaluesthatcanbeused.-X設置一個選項傳送給TShark模塊。eXtension選項使用extension_key:值形式,extension_key:可以是:lua_script:lua_script_filename,它告訴Wireshark載入指定的腳本。默認腳本是Luascripts.-z得到Wireshark的多種類型的統計信息,顯示結果在實時更新的窗口。用LogParser分析WireShark的包
『捌』 在地址為192.168.1.44的主機上,要檢查到另一台主機的端到端連接性,可通過CLI執行哪個命令
1
通過SSH連接
打開計算機上的SSH客戶端(例如Mac OS X上的Terminal,或者Windows下使用PuTTY)
在PuTTY登錄界面輸入主機名稱或者IP地址,EdgeOS默認的IP地址為192.168.1.1。在初次登錄的時候,會顯示一個主機密鑰。你會被詢問確認保存主機密鑰到本地資料庫。點擊「是」可以在以後略過這個消息。
在用戶名和密碼提示符處,輸入用戶名和密碼,默認是ubnt/ubnt。
對於命令幫助,你可以按下?鍵或者輸入show然後按下?鍵。
回第一步