网络截获数据包及工具

最新推荐文章于 2023-08-30 09:34:11 发布
最新推荐文章于 2023-08-30 09:34:11 发布
阅读量674 收藏
点赞数 1
文章标签: 网络 服务器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JHAoOoooooo/article/details/129064707
版权

数据帧和数据包

数据帧

        工作在数据链路层

        目标mac地址

        源mac地址

        类型:使用了网络层的哪种协议。如:0800H表示IP协议

        帧校验序列:校验数据完整性

数据包

        网络层。在局域网中数据包封装在数据帧中

        TCP,DNS等数据包

主机通信方式

        单播:单台计算机对单台计算机。MAC地址与自己相匹配的数据帧

        组播:单台计算机向所选定的一组主机发送数据包

        广播:单台计算机向网络中所有计算机发送数据包

以太网卡工作状态

        混杂模式:不管数据帧的目的MAC地址是否与自己的地址匹配,都接收

        非混杂模式:只接收目的地址与自己地址相匹配的数据包,广播数据包和组播数据包也接收

wireshark   

统计工具      

 

过滤器规则

过滤IP
    例子:
		ip.src eq 192.168.1.107	//显示来源IP
		ip.dst eq 192.168.1.107	//显示目标IP
    ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107	// 来源IP和目标IP都显示
    ip.addr eq 192.168.1.107 // 来源IP和目标IP都显示
  	ip.src eq 192.168.0.196 and not ip.dst eq 139.224.214.226	//显示来源IP地址为192.168.0.196,但目的地不是139.224.214.226的封包。
  	ip.src eq 192.168.0.0/24	//显示192.168.0.0/24网段
过滤端口
    例子:
    tcp.port eq 80 // 不管端口是来源的还是目标的都显示
    udp.port eq 15000
    tcp.port eq 80 or udp.port eq 80
    tcp.srcport == 80 // 只显示tcp协议的来源端口80
    tcp.dstport == 80 // 只显示tcp协议的目标端口80

    过滤端口范围
    tcp.port >= 1 and tcp.port <= 80
过滤协议
    例子:
	tcp,udp,arp,icmp,http,smtp,ftp,dns,msnms,ip,ssl,oicq,bootp等等
  	tcp or udp
    排除arp包,如!arp   或者   not arp
过滤MAC(太以网头过滤)
    eth.dst == A0:00:00:04:C5:84 // 显示目标mac
    eth.dst==A0-00-00-04-C5-84
    eth.src eq A0:00:00:04:C5:84 // 显示来源mac
    eth.addr eq A0:00:00:04:C5:84 // 显示来源MAC和目标MAC都等于A0:00:00:04:C5:84的
过滤HTTP
  	http.host eq xxx.com
		http.response.code==302	//显示http响应状态码为302的数据包
  	http.response==1	//显示所有的http响应包
		http.request==1	//显示所有的http请求
		http.request.method==POST	//显示请求方式为POST的http请求包,注意POST为大写
		http.request.uri==”/online/setpoint”	//显示请求的uri,取值是域名后的部分
		http.request.full_uri==” http://task.browser.360.cn/online/setpoint”	//显示含域名的整个url
		http.server contains “nginx”	//显示http头中server字段含有nginx字符的数据包
		http.server	//显示http头中含有server字段的数据包
		http.content_type == “text/html”	//根据文件类型过滤http数据包
		http.transfer_encoding == “chunked”	//根据transfer_encoding过滤
		http.request.version == “HTTP/1.1″	//显示HTTP/1.1版本的http包,包括请求和响应
支持逻辑运算,比较运算符
  	not:具有最高优先权
  	and
  	or
例:
  	显示来源IP为10.4.1.12或者来源网络为10.6.0.0/16,目的地TCP端口号在200至10000之间,并且目的位于网络10.0.0.0/8内的所有封包。
  	(ip.src eq 10.4.1.12 or ip.src eq 10.6.0.0/16) and tcp.dstport > 200 and tcp.dstport < 1000 and ip.dst eq 10.0.0.0/8

跟踪流

 

tshark 

        通过tshark提取自己想要的数据

        tshark -r XXX.pcap -T fields -e 数据的字段名 | egrep -vi "0$" | tr "/n"

                -r:文件名及路径

                -T:文本输出格式。(默认text)

                        fields:字段集合

                -e:当 -T fields 时可以用于打印多个字段

取出数据流的紧急指针
		tshark -r stego.pcap -T fields -e tcp.urgent_pointer | egrep -vi "0$" | tr '\n' ','
输出的紧急指针
		67,84,70,123,65,110
使用python解析:
		a=[67,84,70,123,65,110]
		print("".join([chr(x)for x in a]))

TCPDUMP

在内网渗透时,拿到了服务器的webshell,但找不到提权漏洞等

攻击者进入服务器的shell

        识别网卡列表:tcpdump -D

        监视经过指定网卡的数据包:tcpdump -i 指定网卡 -w 保存为数据包(xx.pcap)

        监视经过指定网卡,指定主机的telnet数据包:tcpdump -i 指定网卡 tcp port 23 192.168.1.1 -w 666.pcap

服务器进了了一些操作经过了我们监视的指定网卡-->服务器的流量被保存为流量包

攻击机将数据包保存到自己的电脑,然后使用wireshark等工具进行流量分析

        

        

cool_Sun__
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ip数据包 截获程序
09-09
附:程序源代码,可执行程序。 可能会和杀毒软件冲突。 程序将系统中的所有进程显示出来,然后等待用户进行选择,对用户选择的进程进行注入,挂钩网络函数,此后目标进程对网络函数的调用就变成了对本程序提供的代理函数的调用。对用户怀疑的进程进行监视,将其发送到外部的数据显示出来,实战成功将MSN的数据截获。 达到的最终目标是将用户选中的进程的网络活动进行监视。适用于使用WINDOWS套接字进行通信的程序。方便起见,本程序只截获了send,sendto,recv和recvfrom函数,进行示意。 系统使用说明: 一、单击列表项目后,会在数据信息框中显示进程信息。 二、选中目标进程后,点击挂钩目标进程,或者在列表项目上点击右键,选择挂钩。 三、若进程级别较高,会出现进程权限不够而无法打开进程的错误, 四、选择挂钩后,如果成功,在状态栏会显示挂钩成功的提示,并开始截获数据,进行显示。用户可点击列表项进行数据的详细显示。 五、用户可双击程序的空白区,将转化为小屏显示。单击退出可退回到主界面。
使用Charles进行网络抓包截取数据
qq_58452483的博客
06-28 1983
最近遇上一个需求,通过逆向网络抓包的方式去截取某个网站的数据,此时我想到了Charles。
通过HTTP进行并发的数据抓取
weixin_73725158的博客
08-30 1218
本文将介绍一种可操作的方案——使用HTTP代理来实现并发的网页抓取,并帮助您加速数据抓取过程。代理轮换: 通过更改User-Agent头部信息来模拟不同客户端;- 使用连接池管理器对每个线程/任务分配独立而复用性强的TCP/IP连接;- 寻找信誉良好、稳定可靠且具备较快响应时间的HTTP代理服务供应商;- 在数据抓取过程中进行实时清洗和筛选,以减少后续处理负荷;- 合理选择合适的数据库或文件格式,并对其进行性能调优;标题:加速网页抓取:通过HTTP代理进行并发的数据抓取。限流: 控制访问频率,
工具-WireShark】网络HTTP抓包使用教程
热门推荐
Ric的博客
10-18 2万+
本文章将围绕WireShark抓包工具展开详细介绍,一篇文章就可以让你会用WireShark。WireShark简介:Wireshark是一款最流行和强大的开源数据包抓包与分析工具,可以截取各种网络数据包,并可以查看网络数据包详细信息。WireShark的用途​:该软件在网络安全与取证分析中起到了很大作用。
UDP数据包截断
kimi's blog
10-04 1072
Posix系列的recv、recvfrom、read函数均无法得到数据包被截断的错误消息,只有recvmsg可以得到该消息。 ssize_t recvmsg(int socket, struct msghdr *message, int flags); 如果message->msg_flags & MSG_TRUNC为真,则表示数据包被截断。超出部分被丢弃。 但也有例外,Solari...
WinSock Expert 非常好用的网络数据包截获工具
11-22
WinSock Expert是一款强大的网络数据包截获工具,专为网络分析和故障排查而设计。在IT领域,了解并掌握这类工具对于提升网络性能优化、安全监控以及问题定位的能力至关重要。本文将深入探讨WinSock Expert的功能、...
数据包截获修改工具MonPack
08-20
数据包截获修改工具MonPack是一款专为网络通信分析和数据包操纵设计的实用软件。在IT领域,这种工具常用于网络安全检测、故障排查、软件开发以及网络性能优化等多个方面。MonPack的独特之处在于它内置了发送功能,...
http网络数据包截获与还原
01-06
数据包分析是截获数据包后的重要步骤,它包括解析包头信息和负载数据。HTTP包头包含关键信息,如请求方法(GET、POST等)、URL、状态码、报文头等,这些信息能揭示通信的性质和目的。负载数据则是HTTP消息体,可能...
网管大师数据包截获分析系统.rar_协议分析_截获_数据包_网管系统
09-24
在IT行业中,网络管理是至关重要的一个领域,而网管大师数据包截获分析系统则是一种专门用于网络监控和故障排查的工具。本系统能够帮助网络管理员深入理解网络流量,发现潜在的问题,优化网络性能,并确保网络安全。...
ring3应用层截获网络数据包 网络抓包的实现源码
01-27
标题中的“ring3应用层截获网络数据包 网络抓包的实现源码”指的是在操作系统中,不依赖于内核级别的网络驱动,而是通过应用程序层面的技术来捕获网络数据包的方法。这种技术通常被称为Ring 3级别的网络抓包,与更...
wireshark提取保存部分报文特定字段之tshark
weixin_33811961的博客
11-14 1013
  由于研究需要,用wireshark抓取了大量的modbus-tcp的数据包。由于需要对这些数据进行分析,而要分析的数据包又非常多,所以想要只分析每个报文的特定字段。 于是在网上找wireshark如何保存报文的特定字段。有部分人的做法是“自己动手,丰衣足食” (winpcap/libpcap抓包,用程序抽取出特定字段进行分析),当然也有更简单的方法——用tshark。 tshark相当于是...
全网第三详细tshark使用帮助
12-11 6921
一 前言tshark作为wireshark的命令行版本,功能非常强大,可以抓包,数据包分析、提取文件、提取分析后的数据还支持各种格式,可以说一把流量分析的瑞士军刀,如果在低流量的场景,包装下tshark命令,就可以做个功能比较丰富的分析系统了,结合检测规则,一个简单点的IDS系统就出来了。二 核心功能2.1 抓包如同tcpdump一样,tshark也可以通过命令行方式进行流量捕获,功能一点也不弱。...
调试利器之wireshark
weixin_33829657的博客
04-12 4007
简介 Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题,开发者使用Wir...
linux命令之----tcpdump用于截取或监视网络传输的数据包
m0_37477061的博客
10-11 547
https://blog.csdn.net/xianjie0318/article/details/72898655
wireshark抓取网络数据包
qq_53085291的博客
12-25 1468
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
一个很好用的模板(截取网络数据包
daojin505的专栏
08-07 990
template class Analizer { private: const char* m_pccPacket; int m_Size; static const int M_MIN_SIZE = minsize; public: void Bind(const char* pccPacket, int size) { m_pccP
Fiddler 接口手工测试 截包与改包
a_Seal_with_code的博客
08-31 368
fiddler 截包与改包
网络数据包抓取工具_如何抓取网络包?两个方法告诉你
weixin_39891438的博客
11-30 4392
显形“不可见”的网络网络世界中的数据包交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本学习计算机网络的时候就会觉得非常的抽象,加大了学习的难度。还别说,我自己在大学的时候,也是如此。直到工作后,认识了两大分析网络的利器:tcpdump 和 Wireshark,这两大利器把我们“看不见”的数据包,呈现在我们眼前,一目了然。唉,当初大学学习计网的时候,要是能知道这两个工具,就不会学的一脸懵...
使用Wireshark网络数据包截获并分析
最新发布
10-26
使用Wireshark可以截获网络数据包并进行分析。以下是一些步骤和方法: 1. 下载和安装Wireshark软件。 2. 打开Wireshark并选择要捕获的网络接口。 3. 开始捕获数据包。 4. 分析捕获的数据包,可以查看每个数据包的详细信息,如源地址、目标地址、协议类型、数据大小等。 5. 可以使用Wireshark的过滤器功能来筛选和查找特定的数据包。 6. 分析数据包的内容,可以查看数据包中传输的数据,如HTTP请求和响应、电子邮件、文件传输等。 需要注意的是,Wireshark只能截获本地网络接口上的数据包,如果要截获远程主机的数据包,需要使用其他工具或技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值