wireshark

本文首发于 vivo互联网技术 微信公众号 链接： https://mp.weixin.qq.com/s/AkbAN4UZLDf841g1ZLFPBQ 作者：Wu Yue 本文系统性的讲述了 DNS 协议与 WebSocket 协议的重要细节。 一、DNS 1、Linux dig命令 我们首先通过 Linux 下的dig命令来了解一下 DNS 是怎么做域名解析的。我们首先输入命令： dig www.baidu.com 看下标注的红框，从左到右依次代表： 域名的名称 也就是服务器名称 网络类型，DNS协议在设计的时候考虑到了其他网络类型，但是目前位置这个值还是写死的IN 你就理解成是互联网就可以了。这个值一般不变 标识域名对应何种类型的地址，A 就代表ip的地址。 这里可能有人会问了，这个域名的后面为啥还有个“.”？我们输入的明明是 www.baidu.com 不是 www.baidu.com. 啊 。 这里要提一下： 末尾的 . 代表的就是 根域名 ，每个域名都有根域名，所以通常我们会 省略它 。 根域名的下一级叫 顶级域名 ，比如我们熟知的.com与.net。 再下一级就是 次级域名 了，比如例子中的.baidu。这个次级域名只要你有钱是可以随便注册的。 最后这个 www ，这个代表 三级域名 。一般是用户在自己的域里面为服务器分配的名称。用户可以随便分他。

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了木马病毒提权技术，包括进程访问令牌权限提升和Bypass UAC。这篇文章将复现CVE-2020-11107漏洞，利用XAMPP任意命令执行漏洞提升权限，希望对您有所帮助。 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.漏洞描述 二.环境搭建 三.漏洞复现 四.防御及总结 作者的github资源： 软件安全： https://github.com/eastmountyxz/Software-Security-Course 其他工具： https://github.com/eastmountyxz/NetworkSecuritySelf-study Windows-Hacker： https://github.com/eastmountyxz/Windows-Hacker-Exp 声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩

当wireshark抓取到带有附件为乱码的邮件，比如 为看到完整邮件内容，我们可以点击Save As存为X.eml，用outlook等邮件客户端打开。 来源： oschina 链接： https://my.oschina.net/u/4302800/blog/4334657

WireShark抓到了SIP包, 逐条分析, 看瞎...希望能够写个脚本, 自动生成流程图 来源： oschina 链接： https://my.oschina.net/u/4318872/blog/4415848

QFX5100-48S 端口镜像测试 实验拓扑： 实验目的： QFX5100-48S_core 设备将 ET-0/0/48 的流量镜像到 ge-0/0/0 接口，在 PC 上通过 wireshark 抓取到 QFX5100-48S_001 ping QFX5100-48S_core 的流量。 实验配置： QFX5100-48S_core ： QFX5100-48S_001 ： 实验步骤： 001 设备执行 ping 命令 实验结果： PC 连接 QFX5100-48S_core 设备 GE-0/0/0 ，开启 wireshark ，成功获取到镜像流量： 源地址： 192.168.100.254 目的地址 192.168.100.1 协议 ICMP 来源： oschina 链接： https://my.oschina.net/u/4362486/blog/4415749

# 先进到/tmp 目录执行，方便Filezila 传输 # 开启抓包 nohup tcpdump -i eth0 -s0 -nnA 'port 22' -w dump22.pcap & [1] 15022 # 查询pid ps -ef|grep tcpdump |grep -v 'grep' # 结束抓包 kill 15022 参考 https://www.cnblogs.com/bonelee/p/6121821.html 来源： oschina 链接： https://my.oschina.net/u/4402117/blog/4277973

  前几天发了一个朋友圈，发现暗恋已久的女生给我点了个赞，于是我当晚辗转反侧、彻夜未眠！想着妹子是不是对我有感觉呢？不然怎么会突然给我点赞呢？要不趁机表个白？   于是第二天我在心中模拟了多次表白的话语，连呼吸都反复练习。到了晚上，我拨通了妹子的微信语音，还没等对方开口我就按捺不住内心的想法，开始自说自话，一阵狂乱的表达…足足五分钟一气呵成，一切都是那么自然！   可是在我说完之后却半天都没有等到妹子的回应…过了好一会儿才听到对方的声音：“喂！喂！我这边信号不好，你刚刚在说啥我一句都没听到，我在跟我男朋友逛街呢…”。   我挂断了电话，我也对我这次失败的表白进行了深度的总结！原因就是因为我没有学好TCP！   如果我懂TCP，那我在表白之前至少要先问一句“在吗？”！先建立可靠的连接，确保连接正常才能开始表白！   如果我懂TCP，那我在我说话的过程中需要对方不断的确认，这样才能保证我说的每一句话对方都能听到！这样我才能表白成功！   所以一切都是因为我没有学好TCP，于是我走进了图书馆… 我们先来看下TCP的定义： TCP全称为Transmission Control Protocol（传输控制协议），是一种 面向连接 的、 可靠 的、 基于字节流 的 传输层 通信 协议 。TCP是为了在不可靠的互联网络上提供可靠的 端到端 字节流而专门设计的一个传输协议。  

原文： https://securelist.com/compfun-http-status-based-trojan/96874/ 译者：知道创宇404实验室翻译组 2019年秋，我们 发布了一篇文章 ，其主要讲述了一个名为Reducor的COMpfun后继文件是如何即时感染文件以破坏TLS流量的，目前该恶意软件的开发者们还在开发新的功能。2019年11月下旬，我们的搜索引擎发现了一个新的木马，其之前发现的代码高度相似，经过我们进一步的研究表明，它使用的是与COMPFun相同的代码库。 里面有什么 该恶意活动幕后操纵者聚焦于外交实体上，这次目标是在欧洲。他们将最初的释放器以伪造签证申请的形式进行传播。合法的应用程序及32位或64位的恶意软件被保存在加密释放器中，但恶意代码是如何传递到目标中的这点我们尚不清楚。 感染链 我们观察到了一个有趣的C2通信协议，该协议使用了罕见的HTTP/HTTPS状态代码（即IETF RFC 7231，6585，4918），而Client Error类中的几个HTTP状态代码（422-429）会使木马知道操作员想要做什么，在控制服务器发送“Payment Required”（402）状态之后，会执行先前所接收到的命令。 操作者将RSA公钥和唯一的HTTP ETag保留在加密的配置数据中。出于Web内容缓存原因而创建的此标记也可以用于过滤对C2的请求，如

文章目录 实验一 Wireshark的使用 实验二 使用Wireshark分析以太网帧与ARP协议 实验三 使用Wireshark分析IP协议 实验四 利用Wireshark分析ICMP 实验五 使用Wireshark分析UDP协议 实验六 使用Wireshark分析TCP协议 实验七 利用Wireshark分析协议HTTP 实验八 利用Wireshark分析DNS协议 实验一 Wireshark的使用 一、实验目的 1、熟悉并掌握Wireshark的基本使用； 2、了解网络协议实体间进行交互以及报文交换的情况。 二、实验环境 与因特网连接的计算机，操作系统为Windows，安装有Wireshark、IE等软件。 三、 实验步骤 启动Web浏览器（如IE）； 启动Wireshark； 开始分组捕获：单击工具栏的 按钮，出现如图1所示对话框，[options]按钮可以进行系统参数设置，在绝大部分实验中，使用系统的默认设置即可。当计算机具有多个网卡时，选择其中发送或接收分组的网络接口（本例中，第一块网卡为虚拟网卡，第二块为以太网卡）。单击“Start”开始进行分组捕获； 图1 在运行分组捕获的同时，在浏览器地址栏中输入某个网页的URL，如： 当完整的页面下载完成后，单击捕获对话框中的“stop”按钮，停止分组捕获。此时， Wireshark主窗口显示已捕获的你本次通信的所有协议报文；

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》，其作者是甘迪文老师，推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享，并且会进一步补充知识点。第四篇文章主要介绍木马病毒自启动技术，包括注册表、快速启动目录、计划任务和系统服务，希望对您有所帮助。 对于一个病毒木马来说，重要的不仅是如何进行破坏，还有如何执行。同样，如何开始也非常重要，病毒木马只有加载到内存中开始运行，才能真正体现出它的破坏力。否则，它只是一个普通的磁盘文件，对于计算机用户的数据、隐私构不成任何威胁。 即使成功植入模块并启动攻击模块，依然不能解决永生驻留的问题（持久性攻击）。解决永生驻留的第一步便是如何实现伴随系统启动而启动的问题，即 开机自启动 。这样，即使用户关机重启，病毒木马也随着系统的启动，而由系统加载到内存中运行，从而窃取用户数据和隐私。因此，开机自启动技术是病毒木马至关重要的技术，也是杀软重点监测的技术。对于杀软来说，只要把守住自启动的入口，就可以把病毒木马扼杀在摇篮中。 文章目录 一.注册表 1.注册表基础知识 2.函数介绍 3.编程实现 二.快速启动目录 1.函数介绍 2.编程实现 三.计划任务 1.实现原理 2.具体操作 3.编程实现 四.系统服务 1.函数介绍