網(wǎng)絡(luò)空間安全概論 實(shí)驗(yàn)6 網(wǎng)絡(luò)監(jiān)聽wireshark

設(shè)計(jì)報(bào)告網(wǎng)絡(luò)監(jiān)聽wireshark介紹Wireshark（前稱Ethereal）是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是截取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。在過去，網(wǎng)絡(luò)封包分析軟件是非常昂貴的，或是專門屬于盈利用的軟件。Ethereal的出現(xiàn)改變了這一切。在GNUGPL通用許可證的保障范圍底下，使用者可以以免費(fèi)的途徑取得軟件與其源代碼，并擁有針對(duì)其源代碼修改及客制化的權(quán)利。Ethereal是全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。網(wǎng)絡(luò)管理員使用Wireshark來檢測(cè)網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用Wireshark來檢查資訊安全相關(guān)問題，開發(fā)者使用Wireshark來為新的通訊協(xié)定除錯(cuò)，普通使用者使用Wireshark來學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識(shí)。當(dāng)然，有的人也會(huì)“居心叵測(cè)”的用它來尋找一些敏感信息……Wireshark不是入侵偵測(cè)系統(tǒng)（IntrusionDetectionSystem,IDS）。對(duì)于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析Wireshark截取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出流通的封包資訊。Wireshark本身也不會(huì)送出封包至網(wǎng)絡(luò)上。wireshark工作流程（1）確定Wireshark的位置。如果沒有一個(gè)正確的位置，啟動(dòng)Wireshark后會(huì)花費(fèi)很長(zhǎng)的時(shí)間捕獲一些與自己無關(guān)的數(shù)據(jù)。（2）選擇捕獲接口。一般都是選擇連接到Internet網(wǎng)絡(luò)的接口，這樣才可以捕獲到與網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)。否則，捕獲到的其它數(shù)據(jù)對(duì)自己也沒有任何幫助。（3）使用捕獲過濾器。通過設(shè)置捕獲過濾器，可以避免產(chǎn)生過大的捕獲文件。這樣用戶在分析數(shù)據(jù)時(shí)，也不會(huì)受其它數(shù)據(jù)干擾。而且，還可以為用戶節(jié)約大量的時(shí)間。（4）使用顯示過濾器。通常使用捕獲過濾器過濾后的數(shù)據(jù)，往往還是很復(fù)雜。為了使過濾的數(shù)據(jù)包再更細(xì)致，此時(shí)使用顯示過濾器進(jìn)行過濾。（5）使用著色規(guī)則。通常使用顯示過濾器過濾后的數(shù)據(jù)，都是有用的數(shù)據(jù)包。如果想更加突出的顯示某個(gè)會(huì)話，可以使用著色規(guī)則高亮顯示。（6）構(gòu)建圖表。如果用戶想要更明顯的看出一個(gè)網(wǎng)絡(luò)中數(shù)據(jù)的變化情況，使用圖表的形式可以很方便的展現(xiàn)數(shù)據(jù)分布情況。（7）重組數(shù)據(jù)。Wireshark的重組功能，可以重組一個(gè)會(huì)話中不同數(shù)據(jù)包的信息，或者是一個(gè)重組一個(gè)完整的圖片或文件。由于傳輸?shù)奈募^大，所以信息分布在多個(gè)數(shù)據(jù)包中。為了能夠查看到整個(gè)圖片或文件，這時(shí)候就需要使用重組數(shù)據(jù)的方法來實(shí)現(xiàn)。wireshark下載安裝從官網(wǎng)/下載安裝包，在windows環(huán)境下進(jìn)行安裝。安裝成功后啟動(dòng)界面如下wireshark捕獲報(bào)文使用wireshark監(jiān)聽本地網(wǎng)卡，捕獲數(shù)據(jù)包。通信建立成功報(bào)文的端口36935為客戶端的端口502為服務(wù)端主動(dòng)打開。發(fā)送SYN，協(xié)商windowsize、TCPMSSseq=0len=0MSS=65459win=43690最大窗口大小。服務(wù)端接收到syn。回復(fù)synack=0+1并發(fā)送自身seq=0確認(rèn)自己的最大win=43690MSS=65459客戶端接收到服務(wù)端發(fā)送來的ack和服務(wù)端自身的seq，客戶端要發(fā)送ack=0+1，給服務(wù)端發(fā)送確認(rèn)報(bào)文。服務(wù)端接收后，通信建立成功數(shù)據(jù)收發(fā)報(bào)文分析雙擊具體報(bào)文，查看詳細(xì)信息可以看到數(shù)據(jù)收發(fā)實(shí)際上是應(yīng)用層協(xié)議數(shù)據(jù)，例如圖中是modbus協(xié)議的數(shù)據(jù)報(bào)文，如何區(qū)分報(bào)文是數(shù)據(jù)報(bào)文還是網(wǎng)絡(luò)報(bào)文，可以通過len長(zhǎng)度或者下方的協(xié)議層查看主動(dòng)關(guān)閉，發(fā)送FIN。Seq=328服務(wù)端狀態(tài)為FIN_wait1處于半關(guān)閉狀態(tài)客戶端狀態(tài)為closed_wait處于半關(guān)閉狀態(tài)客戶端發(fā)送確認(rèn)ackack=328+1服務(wù)端狀態(tài)為FIN_wait2客戶端發(fā)送FINseq=133客戶端狀態(tài)為L(zhǎng)AST_ack服務(wù)端狀態(tài)為time_wait服務(wù)端發(fā)送ackack=133+1客戶端狀態(tài)closed服務(wù)端狀態(tài)closed，至此本次通信結(jié)束wireshark過濾規(guī)則一、針對(duì)wireshark最常用的自然是針對(duì)IP地址的過濾。其中有幾種情況：（1）對(duì)源地址為的包的過濾，即抓取源地址滿足要求的包。表達(dá)式為：ip.src==（2）對(duì)目的地址為的包的過濾，即抓取目的地址滿足要求的包。表達(dá)式為：ip.dst==（3）對(duì)源或者目的地址為的包的過濾，即抓取滿足源或者目的地址的ip地址是的包。表達(dá)式為：ip.addr==,或者ip.src==orip.dst==（4）要排除以上的數(shù)據(jù)包，我們只需要將其用括號(hào)囊括，然后使用"!"即可。表達(dá)式為：!(表達(dá)式)二、針對(duì)協(xié)議的過濾（1）僅僅需要捕獲某種協(xié)議的數(shù)據(jù)包，表達(dá)式很簡(jiǎn)單僅僅需要把協(xié)議的名字輸入即可。表達(dá)式為：http（2）需要捕獲多種協(xié)議的數(shù)據(jù)包，也只需對(duì)協(xié)議進(jìn)行邏輯組合即可。表達(dá)式為：httportelnet（多種協(xié)議加上邏輯符號(hào)的組合即可）（3）排除某種協(xié)議的數(shù)據(jù)包表達(dá)式為：notarp!tcp三、針對(duì)端口的過濾（視協(xié)議而定）（1）捕獲某一端口的數(shù)據(jù)包表達(dá)式為：tcp.port==80（2）捕獲多端口的數(shù)據(jù)包，可以使用and來連接，下面是捕獲高端口的表達(dá)式表達(dá)式為：udp.port>=2048四、針對(duì)長(zhǎng)度和內(nèi)容的過濾（1）針對(duì)長(zhǎng)度的過慮（這里的長(zhǎng)度指定的是數(shù)據(jù)段的長(zhǎng)度）表達(dá)式為：udp.length<30http.content_length<=20（2）針對(duì)數(shù)據(jù)包內(nèi)容的過濾表達(dá)式為：http.request.urimatches"vipscu"（匹配http請(qǐng)求中含有vipscu字段的請(qǐng)求信息）wireshark捕獲瀏覽網(wǎng)頁wireshark無法在未配置對(duì)應(yīng)服務(wù)器的ssl相關(guān)證書的情況下解析捕獲到的https內(nèi)容，因此才用其捕獲http協(xié)議的網(wǎng)絡(luò)內(nèi)容。分析http報(bào)文在協(xié)議框中選擇“GET/HTTP/1.1”所在的分組會(huì)看到這個(gè)基本請(qǐng)求行后跟隨著一系列額外的請(qǐng)求首部。在首部后的“\r\n”表示一個(gè)回車和換行，以此將該首部與下一個(gè)首部隔開。“Host”首部在HTTP1.1版本中是必須的，它描述了URL中機(jī)器的域名，本測(cè)試中是。這就允許了一個(gè)Web服務(wù)器在同一時(shí)間支持許多不同的域名。有了這個(gè)首部，Web服務(wù)器就可以區(qū)別客戶試圖連接哪一個(gè)Web服務(wù)器，并對(duì)每個(gè)客戶響應(yīng)不同的內(nèi)容。User-Agent首部描述了提出請(qǐng)求的Web瀏覽器及客戶機(jī)器。接下來是一系列的Accpet首部，包括Accept、Accept-Language、Accept-Encoding、Accept-Charset。它們告訴Web服務(wù)器客戶Web瀏覽器準(zhǔn)備處理的數(shù)據(jù)類型。Web服務(wù)器可以將數(shù)據(jù)轉(zhuǎn)變?yōu)椴煌恼Z言和格式。這些首部表明了客戶的能力和偏好。Keep-Alive及Connection首部描述了有關(guān)TCP連接的信息，通過此連接發(fā)送HTTP請(qǐng)求和響應(yīng)。它表明在發(fā)送請(qǐng)求之后連接是否保持活動(dòng)狀態(tài)及保持多久。大多數(shù)HTTP1.1連接是持久的（persistent），意思是在每次請(qǐng)求后不關(guān)閉TCP連接，而是保持該連接以接受從同一臺(tái)服務(wù)器發(fā)來的多個(gè)請(qǐng)求。已經(jīng)查看了由Web瀏覽器發(fā)送的請(qǐng)求，現(xiàn)在來觀察Web服務(wù)器的應(yīng)答。響應(yīng)首先發(fā)送“HTTP/1.1200ok”，指明它開始使用HTTP1.1版本來發(fā)送網(wǎng)頁。同樣，在響應(yīng)分組中，它后面也跟隨著一些首部。最后，被請(qǐng)求的實(shí)際數(shù)據(jù)被發(fā)送。第一個(gè)Cache-c