網(wǎng)絡(luò)空間安全概論 實(shí)驗(yàn)6 網(wǎng)絡(luò)監(jiān)聽wireshark

設(shè)計報告網(wǎng)絡(luò)監(jiān)聽wireshark介紹Wireshark（前稱Ethereal）是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報文交換。在過去，網(wǎng)絡(luò)封包分析軟件是非常昂貴的，或是專門屬于盈利用的軟件。Ethereal的出現(xiàn)改變了這一切。在GNUGPL通用許可證的保障范圍底下，使用者可以以免費(fèi)的途徑取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權(quán)利。Ethereal是全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。網(wǎng)絡(luò)管理員使用Wireshark來檢測網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用Wireshark來檢查資訊安全相關(guān)問題，開發(fā)者使用Wireshark來為新的通訊協(xié)定除錯，普通使用者使用Wireshark來學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識。當(dāng)然，有的人也會“居心叵測”的用它來尋找一些敏感信息……Wireshark不是入侵偵測系統(tǒng)（IntrusionDetectionSystem,IDS）。對于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會產(chǎn)生警示或是任何提示。然而，仔細(xì)分析Wireshark截取的封包能夠幫助使用者對于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會對網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會反映出流通的封包資訊。Wireshark本身也不會送出封包至網(wǎng)絡(luò)上。wireshark工作流程（1）確定Wireshark的位置。如果沒有一個正確的位置，啟動Wireshark后會花費(fèi)很長的時間捕獲一些與自己無關(guān)的數(shù)據(jù)。（2）選擇捕獲接口。一般都是選擇連接到Internet網(wǎng)絡(luò)的接口，這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則，捕獲到的其它數(shù)據(jù)對自己也沒有任何幫助。（3）使用捕獲過濾器。通過設(shè)置捕獲過濾器，可以避免產(chǎn)生過大的捕獲文件。這樣用戶在分析數(shù)據(jù)時，也不會受其它數(shù)據(jù)干擾。而且，還可以為用戶節(jié)約大量的時間。（4）使用顯示過濾器。通常使用捕獲過濾器過濾后的數(shù)據(jù)，往往還是很復(fù)雜。為了使過濾的數(shù)據(jù)包再更細(xì)致，此時使用顯示過濾器進(jìn)行過濾。（5）使用著色規(guī)則。通常使用顯示過濾器過濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如果想更加突出的顯示某個會話，可以使用著色規(guī)則高亮顯示。（6）構(gòu)建圖表。如果用戶想要更明顯的看出一個網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。（7）重組數(shù)據(jù)。Wireshark的重組功能，可以重組一個會話中不同數(shù)據(jù)包的信息，或者是一個重組一個完整的圖片或文件。由于傳輸?shù)奈募^大，所以信息分布在多個數(shù)據(jù)包中。為了能夠查看到整個圖片或文件，這時候就需要使用重組數(shù)據(jù)的方法來實(shí)現(xiàn)。wireshark下載安裝從官網(wǎng)/下載安裝包，在windows環(huán)境下進(jìn)行安裝。安裝成功后啟動界面如下wireshark捕獲報文使用wireshark監(jiān)聽本地網(wǎng)卡，捕獲數(shù)據(jù)包。通信建立成功報文的端口36935為客戶端的端口502為服務(wù)端主動打開。發(fā)送SYN，協(xié)商windowsize、TCPMSSseq=0len=0MSS=65459win=43690最大窗口大小。服務(wù)端接收到syn?；貜?fù)synack=0+1并發(fā)送自身seq=0確認(rèn)自己的最大win=43690MSS=65459客戶端接收到服務(wù)端發(fā)送來的ack和服務(wù)端自身的seq，客戶端要發(fā)送ack=0+1，給服務(wù)端發(fā)送確認(rèn)報文。服務(wù)端接收后，通信建立成功數(shù)據(jù)收發(fā)報文分析雙擊具體報文，查看詳細(xì)信息可以看到數(shù)據(jù)收發(fā)實(shí)際上是應(yīng)用層協(xié)議數(shù)據(jù)，例如圖中是modbus協(xié)議的數(shù)據(jù)報文，如何區(qū)分報文是數(shù)據(jù)報文還是網(wǎng)絡(luò)報文，可以通過len長度或者下方的協(xié)議層查看主動關(guān)閉，發(fā)送FIN。Seq=328服務(wù)端狀態(tài)為FIN_wait1處于半關(guān)閉狀態(tài)客戶端狀態(tài)為closed_wait處于半關(guān)閉狀態(tài)客戶端發(fā)送確認(rèn)ackack=328+1服務(wù)端狀態(tài)為FIN_wait2客戶端發(fā)送FINseq=133客戶端狀態(tài)為LAST_ack服務(wù)端狀態(tài)為time_wait服務(wù)端發(fā)送ackack=133+1客戶端狀態(tài)closed服務(wù)端狀態(tài)closed，至此本次通信結(jié)束wireshark過濾規(guī)則一、針對wireshark最常用的自然是針對IP地址的過濾。其中有幾種情況：（1）對源地址為的包的過濾，即抓取源地址滿足要求的包。表達(dá)式為：ip.src==（2）對目的地址為的包的過濾，即抓取目的地址滿足要求的包。表達(dá)式為：ip.dst==（3）對源或者目的地址為的包的過濾，即抓取滿足源或者目的地址的ip地址是的包。表達(dá)式為：ip.addr==,或者ip.src==orip.dst==（4）要排除以上的數(shù)據(jù)包，我們只需要將其用括號囊括，然后使用"!"即可。表達(dá)式為：!(表達(dá)式)二、針對協(xié)議的過濾（1）僅僅需要捕獲某種協(xié)議的數(shù)據(jù)包，表達(dá)式很簡單僅僅需要把協(xié)議的名字輸入即可。表達(dá)式為：http（2）需要捕獲多種協(xié)議的數(shù)據(jù)包，也只需對協(xié)議進(jìn)行邏輯組合即可。表達(dá)式為：httportelnet（多種協(xié)議加上邏輯符號的組合即可）（3）排除某種協(xié)議的數(shù)據(jù)包表達(dá)式為：notarp!tcp三、針對端口的過濾（視協(xié)議而定）（1）捕獲某一端口的數(shù)據(jù)包表達(dá)式為：tcp.port==80（2）捕獲多端口的數(shù)據(jù)包，可以使用and來連接，下面是捕獲高端口的表達(dá)式表達(dá)式為：udp.port>=2048四、針對長度和內(nèi)容的過濾（1）針對長度的過慮（這里的長度指定的是數(shù)據(jù)段的長度）表達(dá)式為：udp.length<30http.content_length<=20（2）針對數(shù)據(jù)包內(nèi)容的過濾表達(dá)式為：http.request.urimatches"vipscu"（匹配http請求中含有vipscu字段的請求信息）wireshark捕獲瀏覽網(wǎng)頁wireshark無法在未配置對應(yīng)服務(wù)器的ssl相關(guān)證書的情況下解析捕獲到的https內(nèi)容，因此才用其捕獲http協(xié)議的網(wǎng)絡(luò)內(nèi)容。分析http報文在協(xié)議框中選擇“GET/HTTP/1.1”所在的分組會看到這個基本請求行后跟隨著一系列額外的請求首部。在首部后的“\r\n”表示一個回車和換行，以此將該首部與下一個首部隔開。“Host”首部在HTTP1.1版本中是必須的，它描述了URL中機(jī)器的域名，本測試中是。這就允許了一個Web服務(wù)器在同一時間支持許多不同的域名。有了這個首部，Web服務(wù)器就可以區(qū)別客戶試圖連接哪一個Web服務(wù)器，并對每個客戶響應(yīng)不同的內(nèi)容。User-Agent首部描述了提出請求的Web瀏覽器及客戶機(jī)器。接下來是一系列的Accpet首部，包括Accept、Accept-Language、Accept-Encoding、Accept-Charset。它們告訴Web服務(wù)器客戶Web瀏覽器準(zhǔn)備處理的數(shù)據(jù)類型。Web服務(wù)器可以將數(shù)據(jù)轉(zhuǎn)變?yōu)椴煌恼Z言和格式。這些首部表明了客戶的能力和偏好。Keep-Alive及Connection首部描述了有關(guān)TCP連接的信息，通過此連接發(fā)送HTTP請求和響應(yīng)。它表明在發(fā)送請求之后連接是否保持活動狀態(tài)及保持多久。大多數(shù)HTTP1.1連接是持久的（persistent），意思是在每次請求后不關(guān)閉TCP連接，而是保持該連接以接受從同一臺服務(wù)器發(fā)來的多個請求。已經(jīng)查看了由Web瀏覽器發(fā)送的請求，現(xiàn)在來觀察Web服務(wù)器的應(yīng)答。響應(yīng)首先發(fā)送“HTTP/1.1200ok”，指明它開始使用HTTP1.1版本來發(fā)送網(wǎng)頁。同樣，在響應(yīng)分組中，它后面也跟隨著一些首部。最后，被請求的實(shí)際數(shù)據(jù)被發(fā)送。第一個Cache-c