第三十三期:使用wireshark抓包分析-抓包实用技巧

杰哥很忙 7月9日

前言

本文整理一下日常抓包使用的一些方法及抓包分析的一些方法。

本文基于wireshark2.2.6版本进行抓包处理。其他版本使用方式大同小异。

 

自定义捕获条件

wireshark可以将抓包数据保存到硬盘上。若需要长时间抓包的话,需要防止内存过大,因此一般需要指定一定大小切包,释放内存。

捕获-选项菜单中可以设置捕获包的一些配置。

 

输入配置

输入选项卡中可以选择抓取指定接口,在下方过滤器中可以输入过滤条件,比如host 172.17.1.100抓取指定ip的包,或tcp port 9055抓取指定端口的包。

 

输出配置

输出选项卡中可以设置保存的文件路径,包数量分组,文件大小分组,文件个数等配置。

1. 文件保存路径:需要设置具体的文件名,wireshark会自动在文件名后加上序号和时间戳信息。比如文件名为1.pcapng,则会自动保存为如1_00001_20190625161142.pcapng的文件名。

 

2. 自动创建新文件可以通过接收到包的数量和大小以及抓包时间进行设置,通常通过文件大小抓包即可。

 

3. 文件个数:通过勾选使用一个唤醒缓冲器来保存最大的文件数量。防止文件过多

 

选项选项卡中还有一些其他的配置,根据实际情况决定是否勾选。

 

命令行抓包

wireshark提供了很强大的GUI界面,但是在生产环境长时间抓包使用GUI界面有以下问题:

 

界面刷新需要消耗资源,且GUI界面相比命令行界面,易出现闪退,卡死等不稳定现象。

 

同时即使配置了切包,也会占用极大的内存,需要将包信息显示在界面,因此必须要等每次切包后才能释放内存。

 

相比命令行将数据持久化到硬盘上会立即释放内存,因为界面上只需要显示简单的抓包数量和文件保存路径等信息。

 

下图是通过GUI界面进行抓包的内存占用情况,配置的是100M切一个文件,一般需要占用几百兆的内存。

下图是通过命令行抓包的内存占用情况,配置的是100M切一个文件,仅仅占用几兆内存。

wireshark安装目录除了wireshark用于GUI界面的抓包程序以外还有一些其他的工具。

 

比如reordercap、text2pcap、tshark、rawshark、mergecap、mmdbresolve、capinfos、dumpcap、editcap等

 

其中tsharkdumpcap是用于命令行抓包的工具。

 

tshark就是命令行版的wiresharktshark底层使用的即为dumpcap,因此tshark的功能相对强大一些,性能上则弱于dumpcap

 

下图是在传输速率为每秒37244,共传输1000000个825B大小的帧下产生的测试结果。

具体相关测试可以到Wireshark Packet Capture: Tshark Vs. Dumpcap查看,里面还有更多的不同的基准测试结果。

 

我们可以通过dumpcap抓包,然后通过tshark或wireshark进行包分析。

通过dumpcap -h查看命令参数。

  • -i: 抓取哪个网络接口的包

  • -f: 过滤器,只抓取满足过滤器的包。

  • -b filesize: 保存文件大小,即切包大小。

  • -b files:20: 保存文件个数。

  • -w: 保存的文件名。

     

在wireshark安装目录有*.html包含各个工具的命令及示例。

 

通过以上参数可以实现和GUI界面通过的抓包策略。比如

dumpcap -i 1 -f "tcp port 8080" -w D:\1.pcapng -b filesize:100000 -b files:20

表示抓取接口1的8080端口的tcp包,将数据保存到D:\1.pcapng路径下,通过100M切一个文件,最多保存20个最新的文件。

 

抓取多个接口

若需要抓取多个接口的包,则通过多个-i参数指定,通过每个-i参数后面可以带上-f配置过滤器。

比如dumpcap -i 1 -i 3 -f "tcp port 8080" -w D:\1.pcapng -b

表示抓取接口1和接口3的包。

通常来说我们需要抓取某个ip的包,那么我们需要知道这个ip是那个网络接口。通过dumpcap -D可以获取所有网络接口。

 

C:\Users\Dm_ca>dumpcap -D
1. \Device\NPF_{E78E9C1F-C71D-40E6-A233-BEFE0A59FD3F} (浠ュお缃?3)
2. \Device\NPF_{50A4BF57-AEF6-42CB-B481-E3BBE16F784A} (鏈湴杩炴帴* 2)
3. \Device\NPF_{A37B6157-FB22-4FC7-870F-6FB76C950BCE} (vEthernet (Default Switch))
4. \Device\NPF_{B6BC2FEF-E6A0-4E7F-BCF6-A4CBE39560A0} (鏈湴杩炴帴* 8)
5. \Device\NPF_{E3B69F06-9D31-4970-B3B1-F7FC29D6F343} (Npcap Loopback Adapter)
6. \Device\NPF_{B70FF207-6758-49F3-BD8B-1E58EBAAA350} (WLAN)
7. \Device\NPF_{196071AF-E992-498F-99EE-32D5238EE947} (鏈湴杩炴帴* 10)
8. \Device\NPF_{4EA95CCE-F4A3-4C1E-884F-033C2A475349} (鏈湴杩炴帴* 9)
9. \Device\NPF_{2F5E422D-8579-4DA4-BD78-02AE4EAEA836} (浠ュお缃?2)
10. \Device\NPF_{F4BDE9E1-950B-402B-9CD6-281119917271} (鏈湴杩炴帴* 3)

最左边的为我们输入的参数-i的编号,右边的乱码的是中文名称本地连接等字样,如果不确定使用哪个网卡,也可以到wireshark中确认一下。

 

输入选项卡选择接口下拉会有对应的地址。

命令输入后就会显示正在抓包的一些信息,Packets为抓取的包数,File为保存的文件名,多切了文件之后,则会显示多个File行。

 

C:\Users\Dm_ca>dumpcap -i 5 -f "tcp" -w E:\1.pcapng -b filesize:100000 -b files:20
Capturing on 'Npcap Loopback Adapter'
File: E:\1_00001_20190629091754.pcapng
Packets: 4

 

抓包分析

通过dumpcap抓包后我们可以将抓包文件通过wireshark界面打开进行简单分析。

若需要根据特定条件在大量信息中筛选出想要的信息,则需要通过tshark进行命令行的筛选。

案例:生产环境中发现时常有丢包现象,通过wireshark进行简单分析发现有许多RST的重置连接包。追踪流查看发现,没有正常建立连接。

通过tcp.flags.reset == 1筛选出大量的重置连接。大约占比1%的请求数据量。

 

为了确认每个包是不是都是同样的原因。我们需要追踪每个包的流进行查看。

 

wireshark上选择指定的包右键在弹出的菜单中选择追踪流-TCP流追踪完整的流。

但是如果要追踪大量的流,在wireshark上操作就不太方便了。

 

由于wireshark不支持批量选择包跟踪流,因此只能一个个跟踪。

 

wireshark又不支持上一步历史搜索,追踪流实际wireshark是用了tcp.stream eq XXXX筛选流号。

 

因此我们需要重新在通过前一个筛选指令重新筛选。这样就非常麻烦,尤其是若一个切包比较大的话,处理起来非常的慢。

 

由于上述原因,我们通过tshark命令行筛选出异常连接后批量跟踪每个流并保存到文件进行分析。

 

批量分析

通过tshark -h可以查看命令从参数,由于多命令和dumpcap类似,但是tshark还扩展了其他命令。

-r: 读取本地的数据包文件。

-R: 捕获过滤器,可用于捕获符合过滤规则的报文。

-Y: 显示过滤器,用于过滤已捕获的报文。

-2: 若此时输入回车,则会将包信息打印到控制台上。

-w: 通过过滤器删选后的包,保存另存到文件中,比如我们需要从某个包筛选出关键信息保存后进行单独分析。

-T fields : 格式化输出,输出属性,我们要通过-e筛选包的指定属性,则需要用该参数。

-e: 获取指定包属性,必须先指定-T fields格式化输出,若有多个属性输出,则使用多个-e,比如-e tcp.stream -e tcp.port

 

捕获过滤器

捕获过滤器是在捕获菜单中,直接用过滤出指定的条件,不满足条件的是不会被捕获的。

显示过滤器

显示过滤器则是在已捕获的包中进行过滤显示。

捕获过滤器的规则是host 192.168.0.115 and tcp port 8080,而对应的显示过滤器规则是ip.addr eq 192.168.0.115 and tcp.port eq 8080,两者的语法还是不同的。

 

实际通过tshark命令过滤时发现,使用的都是显示过滤器筛选。而在通过dumpcap -f抓包时需要使用捕获过滤器的语法。

 

在简单了解参数之后,开始使用命令筛选出我们需要的包。

 

批量筛选包

1. 筛选出需要的包。通过

tshark -r 172.18.12.1_00085_20190624193404.pcapng -2 -R "tcp.flags.reset == 1"

筛选出我们需要的包。

 

PS E:\wiresharkpackage\analysis-20190625> tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1"
1 9341.446421 50094 TCP 60 50094 鈫?9055 [RST] Seq=1 Win=0 Len=0
2 164451.986850 9055 TCP 54 9055 鈫?51707 [RST, ACK] Seq=966 Ack=717 Win=0 Len=0
3 196000.984728 9055 TCP 54 9055 鈫?55516 [RST, ACK] Seq=762 Ack=717 Win=0 Len=0
4 206748.235089 21 TCP 54 21 鈫?56839 [RST, ACK] Seq=432 Ack=121 Win=0 Len=0
5 251344.165367 21 TCP 54 21 鈫?61652 [RST, ACK] Seq=433 Ack=121 Win=0 Len=0
6 260534.172129 21 TCP 54 21 鈫?62957 [RST, ACK] Seq=433 Ack=121 Win=0 Len=0
7 271885.709376 21 TCP 54 21 鈫?64407 [RST, ACK] Seq=434 Ack=121 Win=0 Len=0
...

wireshark界面过滤一样,它会筛选出所有满足过滤条件的包。

 

2. 对每个包进行追踪。

由于追踪包的命令为tcp.stream eq XXXX,因此我们需要知道tcp.stream值才可以追踪该包。

我们上面打印出了相关的包信息。通过-e可以获取指定的包属性,因此在上面的条件加上-T fields -e tcp.stream,表示只需要获取流号。

 

powershell PS E:\wiresharkpackage\analysis-20190625> tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream 103 1048 1319 1419 1544 1687 ...

追踪到流号后我们就需要对每个流进行跟踪并保存。

将流号保存到变量中,遍历每个流号进行筛选即可,通过>>到文本中。

在windows下通过powershell可以很方便的配合tshark命令执行脚本。

 

$streams = tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream
$streams | foreach {tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.stream eq $_" -t ad >> 20190628.txt}

若想要保存成pcapng格式,则可以通过拼凑筛选条件进行筛选,然后通过-w 输出为pcapng格式。

 

$streams = tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.flags.reset == 1" -T fields -e tcp.stream

$filter=""
foreach($stream in $streams)
{
$filter = "$filter tcp.stream eq $stream or"
}
## 移除最后多余的or
$filter= $filter.trim("or")
tshark -r 10.1.13.246-14-25.pcapng -2 -R "tcp.stream eq $filter" -t ad -w 20190628.pcapng

通过将流号进行拼凑,然后筛选出所有流号的包。

合并包

我们可以通过tshark过滤出我们需要的包并保存为文件,有时候我们可能需要把若干个包合并起来一起分析。则可以通过mergecap进行合并。

通过

Usage: mergecap [options] -w <outfile>|- <infile> [<infile> ...]

比如

mergecap.exe -w e:\file\Wireshark\port.pcapng e:\file\Wireshark\port*

port开头的文件合并到port.pcapng

结论

通过对抓包文件进行脚本化的处理,可以做许多更为强大的数据分析。

比如在软件层面上对网络连接进行异常监控及预警。实时的对包进行分析,有异常连接可以做到即使预警。

阅读目录(置顶)(长期更新计算机领域知识)https://blog.csdn.net/weixin_43392489/article/details/102380691

阅读目录(置顶)(长期更新计算机领域知识)https://blog.csdn.net/weixin_43392489/article/details/102380882

阅读目录(置顶)(长期科技领域知识)https://blog.csdn.net/weixin_43392489/article/details/102600114

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/424822.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Floyd判圈算法

leetcode习题287 Find the Duplicate Number 在答案中看到了floyd’s tortoise and hare 算法&#xff0c;知道了如果有限状态机、迭代函数或者链表存在环&#xff0c;那么是需要算法检测环是否存在。检测算法有三种:Floyd龟兔算法、Brent算法、Gosper算法。 Floyd龟兔算法 算…

Idea debug时报错:Command line is too long

问题&#xff1a;git pull下的项目&#xff0c;debug时&#xff0c;报错如下图 解决方法 在项目/.idea/workspace.xml文件中添加一行代码如下 <component name"PropertiesComponent">...<property name"dynamic.classpath" value"true"…

第三十四期:一次非常有意思的sql优化经历

风过无痕的博客 6月24日 场景 我用的数据库是mysql5.6&#xff0c;下面简单的介绍下场景 课程表&#xff1a; create table Course(c_id int PRIMARY KEY,name varchar(10)) 数据100条 学生表: create table Student(id int PRIMARY KEY,name varchar(10)) 数据70000条…

[Leetcode][第657题][JAVA][机器人能否返回原点][数组][HashMap]

【问题描述】[简单] 【解答思路】 遍历方向 看是否回到原点 或者 “上下” “左右”两个方向的数量是否相等 1. 方向 时间复杂度&#xff1a;O(N) 空间复杂度&#xff1a;O(1) class Solution {public boolean judgeCircle(String moves) {int x 0,y 0;int len moves.len…

2019 DDCTF 部分writeup

网上的wp已经很多了&#xff0c;但wp普遍很简略。我尽量写的详细一点。 一、WEB 滴~ 拿到题目后首先右键查看源代码&#xff0c;发现图片是以base64传送的 而且看url发现里面应该是包含了文件名&#xff0c;并且用了某个编码。测试过后是转16进制ascii码后两层bases64 &#xf…

[Leetcode][第322题][JAVA][零钱兑换][回溯][记忆化搜索][动态规划]

【问题描述】[中等] 【解答思路】 1. 递归&#xff08;超时&#xff09; class Solution {int res Integer.MAX_VALUE;public int coinChange(int[] coins, int amount) {if(coins.length 0){return -1;}findWay(coins,amount,0);// 如果没有任何一种硬币组合能组成总金额&…

用BST解决729. My Calendar I 731. My Calendar II 732. My Calendar III

My Calendar的book方法实现指定开始时间、结束时间&#xff0c;在重叠次数要求不同的情况下怎么实现。 729 My Calendar I 要求任意两个事件之间不能重叠。如果要插入的事件和已经插入的事件不重叠&#xff0c;则插入&#xff1b;否则不插入。 731 MyCalendar II 要求任意三个…

第三十八期:如何在Windows 10上使用Windows Update目录驱动程序安装打印机

尽管Win10能够自动设置大多数打印机&#xff0c;但有时Windows Update可能会在安装设备驱动程序时遇到问题-尤其是在添加较旧的打印机时。 作者&#xff1a;佚名来源&#xff1a;Win10系统之家 图片来源&#xff1a;伏天氏(m.futianshuwu.com) 伏天书屋(futianshuwu.com)10月…

376 Wiggle Subsequence 贪心解法以及证明

376. Wiggle Subsequence 题目理解 给定一个数组&#xff0c;相邻两个数计算差值。差值排成的序列是正负相间的&#xff0c;那这个数组就是一个wiggle 数组。例如数组[1,7,4,9,2,5]&#xff0c;差值序列是(6,-3,5,-7,3)。原数组用坐标轴表示如下。 思路是&#xff1a;在一段…

【数据结构与算法】【算法思想】动态规划

贪心算法 回溯算法 分治算法 动态规划 贪心&#xff1a;一条路走到黑&#xff0c;就一次机会&#xff0c;只能哪边看着顺眼走哪边 回溯&#xff1a;一条路走到黑&#xff0c;无数次重来的机会&#xff0c;还怕我走不出来 (Snapshot View) 动态规划&#xff1a;拥有上帝视角&am…

第六十七期:Python爬虫44万条数据揭秘:如何成为网易音乐评论区的网红段子手

获取数据,其实逻辑并不复杂&#xff1a;爬取歌单列表里的所有歌单url、进入每篇歌单爬取所有歌曲url&#xff0c;去重、进入每首歌曲首页爬取热评&#xff0c;汇总。 作者&#xff1a;嗨学python来源&#xff1a;今日头条 获取数据 其实逻辑并不复杂&#xff1a; 爬取歌单列…

【小技巧】字符char与整型int的相互转换

char转int char与int的相互转化&#xff0c;联想ASCII码&#xff0c;字符‘0’对应的值为48&#xff0c;所以不能直接加减‘ ’ char ch9; int ch_intch-0;//此时ch_int9int转char int i9&#xff1b; char i_chi0;//此时i_ch9必须牢记的ASCII

第四十期:九个对Web开发者最有用的Python包,掌握这些,工资至少能涨涨

Matplotlib&#xff0c;正如其名称所暗示的那样&#xff0c;是一个用来绘制数学函数和模型的库;扩展了Numpy的作用&#xff0c;Matplotlib可以只用几行代码来创建图&#xff0c;条形图&#xff0c;散点图等诸多视觉表现。 作者&#xff1a;Python之眼来源&#xff1a;今日头条…

array专题9

新的一周&#xff0c;新的专题。array的中等难度的题目快要结束了。能感觉到进步&#xff0c;也依然能感觉到吃力。加油。 31 Next Permutation 思路&#xff1a;读懂了题意&#xff0c;知道是要求下一个排列数是什么。如果已经到最后一个了&#xff0c;那就返回最小的那个。…

[Leetcode][第214题][JAVA][最短回文串][KMP][RK]

【问题描述】[中等] 【解答思路】 1. 字符串哈希 复杂度 class Solution {public String shortestPalindrome(String s) {int n s.length();int base 131, mod 1000000007;int left 0, right 0, mul 1;int best -1;for (int i 0; i < n; i) {left (int) (((long)…

坏掉的项链Broken Necklace

题目描述 你有一条由N个红色的&#xff0c;白色的&#xff0c;或蓝色的珠子组成的项链(3<N<350)&#xff0c;珠子是随意安排的。 这里是 n29 的二个例子: 第一和第二个珠子在图片中已经被作记号。 图片 A 中的项链可以用下面的字符串表示&#xff1a; brbrrrbbbrrrrrbrrb…

[Leetcode][第557题][JAVA][反转字符串中的单词 III][遍历][String函数]

【问题描述】[简单] 【解答思路】 1. 遍历 开辟一个新字符串。然后从头到尾遍历原字符串&#xff0c;直到找到空格为止&#xff0c;此时找到了一个单词&#xff0c;并能得到单词的起止位置。随后&#xff0c;根据单词的起止位置&#xff0c;可以将该单词逆序放到新字符串当中…

第七十二期:爬虫爬的好,牢饭吃到饱?

前几天分享的一篇《只因写了一段爬虫&#xff0c;公司200多人被抓!》相信大家看了后都会发问&#xff0c;我只是个写爬虫的&#xff0c;跟我有什么关系?到底什么样的爬虫才不犯法?今天这篇会解答你所有的疑问。 作者&#xff1a;技术领导力 前几天分享的一篇爬虫被抓相信大…

如何在Swift中创建漂亮的iOS图表

通过图形和图表呈现数据是当今移动应用程序最显着的特征之一。iOS图表使应用程序看起来更漂亮&#xff0c;更有吸引力。 在本教程中&#xff0c;我们将向您展示如何使用代码示例在Swift中实现我们的iOS图表。我们将看一下Swift折线图&#xff0c;饼图以及条形图。 您可以找到许…

第七十四期:从bug看11种编程语言演化史,果然如今Python比较流行

在本文中&#xff0c;作者选择了 11 种非常流行的编程语言&#xff08;通过 Stack Overflow 标签出现的频率衡量&#xff09;&#xff0c;希望可以找出这些问题的共性及差异性。 作者&#xff1a;机器之心编译来源&#xff1a;机器之心 自 2008 年创办以来&#xff0c;Stack …