wireshark

20199301 2019-2020-2 《网络攻防实践》 第四周作业 一、实践内容 1、网络嗅探 网络嗅探技术定义：网络嗅探（Sniff）是一种黑客常用的窃听技术，与传统的电话窃听在电话线路上对特定号码的内容进行监听类似，网络嗅探利用计算机的网络接口目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。 网络嗅探技术与工具分类：按照所监听的链路层网络进行分类，以太网（Ethernet）与Wi-Fi是目前有线局域网（Local Access Network，LAN）与无线局域网（Wireless Local Access Network，WLAN）最流行的链路层协议，也是目前的网络嗅探器主要监听对象。按照实现形式分为软件嗅探器和硬件嗅探器两种。 2、网络嗅探的原理 以太网工作原理：共享通信信道，它采用了载波侦听/冲突检测技术(CSMA/CD)避免共享链路的通信冲突。以太网中传输的数据是以“帧”为单位，帧头中包含发送源和目标的MAC地址。共享信道中，网卡在收到数据时只会收到与网卡自身的MAC地址匹配的数据。 共享式网络嗅探：主要是用集线器（Hub）连接，其网络拓扑是基于总线方式，物理上是广博的。 交换式网络嗅探：主要是用交换机组建，所以数据帧都通过交换机进行数据转发。 MAC地址洪泛攻击；是指向交换机发送大量含有虚构MAC地址和IP地址的数据包，致使交换机的

这个作业属于哪个课程 《网络攻防实践》 这个作业的要求在哪里 《网络攻防实践》第四周作业 这个作业在哪个具体方面帮助我实现目标 学习网络嗅探与协议分析 作业正文.... 见正文 其他参考文献 见参考文献 一、实践内容 1.网络嗅探 定义：是一种利用计算机网路接口截获目的地为其他计算机的数据报文，已监听数据流中所包含的用户账户密码或私密信息等的常用窃听技术。 以太网工作原理：采用载波侦听/冲突检测技术避免共享链路上的通信冲突，使用广播机制发送数据帧。当网卡处于混杂模式下，能够接收一切通过它连接共享通信媒介的数据帧。 共享式网络使用集线器连接，网络拓扑基于总线方式，物理上是广播机制；交换式网络使用交换机连接，所有数据帧通过交换机进行转发。 交换式网络常见网络嗅探技术：MAC地址洪泛攻击、MAC欺骗、ARP欺骗。 类UNIX平台网络嗅探器软件：libpcap抓包开发库、tcpdump、wireshark Windows平台网络嗅探软件：SnifferPro、wireshark、Buttsniffer、NetMon、Network Associates Sniffer等 检测：在同一主机上，可以通过检查网卡是否运行在混杂模式下，来发现正在监听的嗅探器。也可以基于混杂模式下操作系统和协议栈的不同特性，来检测出网络中其他主机上的嗅探器。 防范： 采用安全的网络拓扑

20199130 2019-2020-2 《网络攻防实践》第四次作业 本次作业属于那个课程 《网络攻防实践》 这个作业要求在哪里 《网络攻防实践》第四次作业 1. 网络嗅探（sniff） 一种黑客常用的窃听技术，利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息。 类UNIX平台的网络嗅探技术：主要通过内核态的BPF和用户态的libpcap抓包工具库实现 windows平台的网络嗅探技术：通过增加一个驱动程序或网络组件来访问内核网卡驱动中捕获的数据包，目前最常用的是与类UNIX平台上BPF模块兼容的NPF 2. 网络嗅探软件 类UNIX平台网络嗅探器软件：最常用libpcap抓包开发库、tcpdump以及wireshark嗅探器软件 libpcap抓包开发库：类UNIX平台下基于内核态BPF向应用程序提供的标准抓包开发库 tcpdump嗅探器软件：在类UNIX平台下捕获数据包，最通用的嗅探器程序。在最简单的模式下，提供命令行模式，支持使用BFP语法的过滤条件进行网络上 数据包的选择性嗅探，谈后进行TCP/IP协议找到协议分析，以每行一个数据包捕获内容的方式呈现嗅探结果。 wireshark嗅探器软件：是类UNIX平台下基于图形界面的嗅探器软件 Windows平台网络嗅探器软件：Windows平台上也有很多网络嗅探器软件

20199316 2019-2020-2 《网络攻防实践》第4 周作业 1.实践内容 1.网络嗅探 网络嗅探是一种黑客常用的窃听技术，与传统的电话窃听在电话线路上对特定号码的通话内容进行监听类似，网络嗅探利用计算机网络的接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。实现网络嗅探技术的工具称为网络嗅探器，嗅探器捕获的数据报文是经过封包处理之后的二进制数据，因此通常会结合网络协议分析技术来解析嗅探到的网络数据，这样才能恢复出TCP/IP协议栈上各层网络协议的内容，以及实际发送的应用层信息。 类UNIX平台上的网络嗅探软件一般都是基于标准接口BPF与libpcap，最常用的包括libpcap抓包开发库、tcpdump以及wireshark嗅探器软件。 2.网络协议分析 网络协议分析是网络嗅探器的进一步解析与理解捕获数据包必需的技术手段。如前所述，网络嗅探截获的是在通过封包过程组装的二进制格式原始报文内容，为了获取其中包含的信息，就需要根据TCP/IP协议栈的协议规范，重新还原出数据包在各个协议层上的协议格式及其内容，以及在应用层传输的实际数据。 对TCP/IP协议栈中基本网络协议的分析技术实现比较简单，并且在开源的网络嗅探器软件如Tcpdump、Wireshark和Snort等都有相应的源码实现。 2.实践过程 动手实践： tcpdump 使用

http://www.rhyous.com/2011/11/13/how-to-read-a-pcap-file-from-wireshark-with-c/ In my Computer Security class I am taking as part of my Masters of Computer Science course, we need to parse a Pcap dump file. Prerequisites It is expected you have Visual Studio 2010 already. It may work the same with Visual C++ 2010. Step 1 – Install Wireshark We are going to use Wireshark to get a packet capture. Wireshark is a nice easy tool to get a packet capture. http://www.wireshark.org Make sure to install Wireshark and let Wireshark install WinPcap when it prompts you. Step 2 – Create a new project in

正如您在Wireshark教程第一部分看到的一样，安装、运行Wireshark并开始分析网络是非常简单的。 使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。 这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 捕捉过滤器： 用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器： 在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 那么我应该使用哪一种过滤器呢？ 两种过滤器的目的是不同的。 捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。 显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。 两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍： 1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的 TCPdump 。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是： - 选择 capture -> options。 - 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存

tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 0x4745 为"GET"前两个字母"GE",0x4854 为"HTTP"前两个字母"HT"。 输出到文件： sudo tcpdump -XvvennSs 0 -i rvi0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 >> ~/out.pcapng tcpdump 对截获的数据并没有进行彻底解码，数据包内的大部分内容是使用十六进制的形式直接打印输出的。显然这不利于分析网络故障，通常的解决办法是先使用带-w参数的tcpdump 截获数据并保存到文件中，然后再使用其他程序(如Wireshark)进行解码分析。当然也应该定义过滤规则，以避免捕获的数据包填满整个硬盘。 tcpdump 与wireshark Wireshark(以前是ethereal)是Windows下非常简单易用的抓包工具。但在Linux下很难找到一个好用的图形化抓包工具。 还好有Tcpdump。我们可以用Tcpdump + Wireshark 的完美组合实现：在 Linux 里抓包，然后在Windows 里分析包。 tcpdump tcp -i eth1 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1

3 月，跳不动了？>>> 　　 　　如何搭建TCP代理的项目还是源于我的一次有趣的尝试，有天下午，我打算攻击流行约会应用程序的用户定位功能。我想看看它们是否容易受到攻击，这些攻击可以逆转受害者用户的位置。我的计划是欺骗每个目标应用程序的数千个请求，假装每个请求都是从不同的位置发送的，并且每次询问应用程序我的目标与我当前的虚假位置有多远。接下来，我会结合使用数学和独创性得出的结果来尝试找出确切的位置。 　　 　　项目一开始开始进展顺利，通过使用Burp Suite（一种流行的HTTP代理），我可以检查、编辑和重播手机与各种约会应用程序的远程服务器之间发送的所有HTTP通信。但是，当我开始探索一个非常成功的应用程序时，我立即遇到了麻烦。我发现它的通信没有出现在Burp或我的其他任何其他基于HTTP的标准工具中。我花了很长时间检查并再次检查我的设置和配置。最后我发现，他们根本不用HTTP。他们使用了其他一些神秘的但仍基于TCP的协议，而我的常规工具（如Burp）无法使用。 　　出于好奇，我花了一些时间来构建一个通用的TCP代理，它可以处理任何基于TCP的协议，而不仅仅是HTTP。一旦完成，我的代理允许我检查不合作的应用程序与服务器的通信。这意味着，我可以继续伪造个人资料，并获得一些希望的结果。 　　在接下来的文章中，我将向你展示如何构建自己的TCP代理。在本文结束时