Panabit镜像功能配合wireshark抓包的方法
Panabit鏡像功能配合wireshark抓包的方法
Panabit的協(xié)議識別都是基于數(shù)據(jù)包的特征,因此捕獲數(shù)據(jù)包樣本是我們進行識別第一步要做的事情。下面就和大家說一下如何捕獲網(wǎng)絡應用的數(shù)據(jù)包。
到百度搜索wireshark,很容易就能找到,把軟件下載并安裝好。
打開wireshark
設置wireshark
點擊Capture-->options
1.選擇網(wǎng)卡,wireshark將捕獲這個網(wǎng)卡所有收發(fā)的數(shù)據(jù)包
2.設置過濾規(guī)則,比如我不像捕獲arp類型的數(shù)據(jù)包就填上“not arp”,填入的內容符合語法這一欄會是綠色,否則是紅色。例如如果我填的是“no arp”那么這欄會是紅色,“no”不符合語法
3.star,開始抓包
抓包過程中常用到的按鍵
上圖紅色數(shù)字對應按鈕的功能:
1,開始抓包
2,停止抓包
3,重新抓包
4,保存數(shù)據(jù)包
抓到我們想要的數(shù)據(jù)后就點停止抓包,然后保存。一般保存為pcap格式。
在抓某個網(wǎng)絡應用的數(shù)據(jù)包方法也非常重要。首先,在抓包之前,要將電腦上的一些無關的網(wǎng)絡應用全部關閉,從而保證wireshark抓到的數(shù)據(jù)都是我們想要抓的應用產(chǎn)生的;第二,要抓到應用完整的數(shù)據(jù),要先打開wireshark開始抓包后,再打開我們要抓的網(wǎng)絡應用程序。比如,我要抓優(yōu)酷某個視頻,我會先用一個TXT文件記錄下這個視頻的鏈接,然后打開wireshark開始抓包,再在IE里輸入記錄下的鏈接,這樣抓到的包就是這個鏈接完整的數(shù)據(jù)了。而不是等到鏈接上的視頻開始播放時再打開wireshark抓包。
抓windows下的應用我們,利用上面的方法就能輕松的抓到想要抓的數(shù)據(jù)包,但是如果我們要抓的并不是windows的應用呢,Wireshark不能安裝在windows以外設備上,比如手機、平板電腦、電視機頂盒等等。
遇到這樣的情況我們就需要將我們要抓的數(shù)據(jù)鏡像出來,再用wireshark來抓包。下面就介紹用Panabit鏡像功能抓包的方法
接線方式
Panabit設置
根據(jù)上面的圖,我們把裝有wireshark的客戶機與em2直連,在Panabit里將手機(假設手機的IP是192.168.0.216)的數(shù)據(jù)鏡像到em2接口,這樣我們就能抓到手機程序的數(shù)據(jù)包了。
這個方法是抓取無法安裝wireshark的設備數(shù)據(jù)包的通用方法。
Panabit還內置了一些命令,可以將Panabit內部的數(shù)據(jù)鏡像出來
1 查找WAN新路的ID
使用floweye nat listproxy命令可以列出當前系統(tǒng)的所有WAN線路或LAN接口,其中第1列是線路的類型,第2列是線路的ID,第3列是線路的名稱
2.鏡像WAN線路的數(shù)據(jù)
floweye nat config dump_proxy=wan線路的ID號dump_if=網(wǎng)卡名
floweye nat config dump_proxy=4dump_if=em2名這條命令的作用就是將ID號為4的wan線路數(shù)據(jù)鏡像到em2上
3.鏡像PPPOE撥號控制包
floweye pppoe config dump_proxy=4dump_if=em2名這條命令的作用就是將ID號為4的PPPOE撥號線路數(shù)據(jù)鏡像到em2上
這個命令和上面的nat config命令的區(qū)別是,pppoe config配置的只抓PPPOE撥號控制包,nat config配置的只抓非PPPOE撥號的包,所以兩者之間可以互補,
因為偶爾會出現(xiàn)撥號不成功的情況,所以只抓PPPOE撥號控制包就比較重要,對于分析PPPOE撥號不成功,用pppoe config命令配置抓包比較合適。
4.鏡像PPPOE服務器與radius通訊的數(shù)據(jù)
floweye radius config dump_if=emX
floweye radius stat可以看到dump_pktnum這個計數(shù)器,表示有多少包鏡像出去了
5. DPI 狀態(tài)
panaos#floweye dpi stat
watch_kad=1
chkudp_pktnum=8
tmpnode_ttl=5
xping_enable=1
gametrack_enable=1
thunder_enable=0
p2p_sntrack=0
nettv_sntrack=0
check_httphdr=1
check_httpres=1
track_httproxy=0
ctx_ttl=20
watcher_colls=0
key_stat=205/151[8/32]
bdyy_enable=1
bdyy_ttl=180
bdyy_minflow=3
bdyy_objpoolsz=256
bdyy_flowpoolsz=512
bdyy_objcnt=0
bdyy_flowcnt=0
bdyy_objfail=0
bdyy_objpanic=0
bdyy_flowfail=0
bdyy_flowidentify=0
bdyy_hits=0
dpiobj_poolsz=3276
dpictx_stat=0/0[cnt/max]
watcher_stat=0/1[cnt/max]
dpiobj_last=0
panic_dpiobj=0/0/0/0/0/0[0/1/2/3/4/5]
panaos#floweye if em bridge policy app agp flow node port util xping ipobj table key appobj chart vlink conlimit logger jflow ipverify urlfilter nat skipsyn dns dpi ipmac usrinfo webauth gtp route ipfrag module hooker l2route pppoe pppoesvr pppoeippool pppoeacct rtentry radius ixcache dhcpsvr dhcpsta dhcplease icmpproxy clntpxy rateobj syslog hostinfo natevent
總結
以上是生活随笔為你收集整理的Panabit镜像功能配合wireshark抓包的方法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: wps 2011 破解版软件
- 下一篇: Torrent 文件图文解析