Wireshark TS | 剥丝抽茧看 Web 服务被封堵

已于 2024-07-20 11:02:47 修改
阅读量500 收藏
点赞数
分类专栏: NetShark 文章标签: wireshark tcpdump 网络协议 tcp/ip 网络
于 2022-02-04 10:29:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47627078/article/details/122781415
版权

问题背景

该问题案例来自于公众号朋友分享,虽然以前也有类似 Web 服务打不开,结果是被封堵的案例,但此次数据包可展开分析的内容有更多的含义,所以记录一下故障排查过程。


问题分析

最终用户反馈移动 4G 打不开网站页面,故障排查通过笔记本 WIFI 热点的方式抓取了相应访问数据包。

一般数据包抓取方式,从我个人建议无需使用捕获过滤,可以在完整的数据包文件上通过显示过滤方式来抽取想要的数据包。

IP 会话过滤

明确知道了所访问的网站域名,自然可以通过 nslookup 等方式确认 IP 地址,之后通过 IP 会话过滤的方式过滤出源和目的交互的所有数据包。

ip.addr eq 10.10.10.1 and ip.addr eq 192.168.0.1


然后导出特定分组,仅保存显示过滤后的数据包文件,可发现源和目的之间存在多条 TCP 会话流,结果如下:
BSCJ-01

数据包文件部分统计信息如下,数据包数量经过 IP 会话过滤后由 387 变为 249 。

$ capinfos -csdl 1226.pcap
File name:           1226.pcap
Packet size limit:   file hdr: 262144 bytes
Number of packets:   387
File size:           85 kB
Data size:           79 kB


$ capinfos -csdl 1226-01.pcapng
File name:           1226-01.pcapng
Packet size limit:   file hdr: (not set)
Number of packets:   249
File size:           54 kB
Data size:           46 kB

TCP 流会话过滤

因客户端访问服务器的行为不同,触发所产生的 TCP 会话流也有多条,根据追踪流方式确认结果

tcp.stream == <num>

简单遍历各条流内容后,发现 RST 异常大同小异,挑选其中一条流做实际分析,数据包内容如下。

tcp.stream == 4

BSCJ-02

实际分析

从 TCP 会话流明显看到 RST 现象,正常来说数据中心内部(无安全设备区域的前提下)RST 一般来自于会话双方的某一方,但考虑到安全设备的存在,又或是本案例中通过互联网访问(数据流途径网络架构未知的情况),需要具体判断 RST 来自何方。

  1. 首先分析 IRTT;

IRTT 信息来自于 TCP 三次握手,存在于整条 TCP 流中做为参考,大体可得知源和目的交互往返时间约为 119 ms
BSCJ-03
2. RST 返回时间

判断 RST 来自何方,为什么可以利用 RST 返回时间做为依据之一?简单思考下,如果 RST 来自于服务器,那么根据 IRTT 值做为参考,基本也在 119 ms 左右返回,但如果明显小于 IRTT 值,可见并不一定是服务器返回,有可能为中间端的设备所产生(多见安全设备)。

增加 Delta Time 列,表达式含义为 frame.time_delta_displayed , 详见之前文章 frame.time_delta 和 frame.time_delta_displayed
BSCJ-04
可以明显看到 RST 在客户端 GET 请求(数据包51)之后,大约 68 ms 即返回,初步可以判断非真实服务器返回。如何进一步佐证?利用 TTL

3. TTL

众所周知,TTL 可用来判断 IP 数据包在网络中转发的跳数,因此增加 TTL 字段作为列参考。
BSCJ-05
可以看到 TCP 三次握手 SYN/ACK 数据包的 TTL 为 112,但是 RST 数据包的 TTL 为 61 ,可见并不是由同一台设备发出,结合 RST 返回时间,可以判断得出结论: Web 服务访问确实是被互联网中间的安全设备所封堵

深入分析

说到 TTL,可能心细的朋友会有注意到上述图中几个 TTL 值的不同,64、112、61、48,尤其是同样来自于服务器 10.10.10.1 的数据包, TTL 会有 112、61、48 三个的区别,那么具体是什么情况呢?

首先 TTL ,由于各个操作系统的不同,甚至说协议的不同,使得不同的数据包 TTL 初始值并不一样,部分设备/操作系统如下:

设备/操作系统TTL备注
Linux64/255
Windows128

1.TTL 64

来自于客户端的 TTL 值 64,结合 Length 长度 54,可判断该数据包文件是在本地客户端上抓取的包。

2. TTL 61

来自于中间安全设备 RST 数据包携带的 TTL 值 61,可判断该安全设备离客户端大概 3 跳,有可能是靠近本端的运营商所做的安全策略管控。

3. TTL 112 和 48

来自于 TCP 三次握手中服务器 SYN/ACK 携带的 TTL 值 112,从初始值 128 来看,判断离客户端大概 16 跳。

同样来自于服务器数据包所携带的 TTL 值 48,从初始值 64 来看,判断离客户端大概也是 16 跳。

那么为什么同一台服务器会产生两个 TTL 值 112 和 48 ?个人猜测仍是安全设备引起,只不过这个安全设备是在服务器侧(类似 WAF 设备),在 TCP 三次握手阶段,由安全设备充当 TCP 三次握手的代理,在确认 TCP 三次握手正式完成后,才将正常业务数据包转发至真实服务器,起到了安全防护作用(譬如 SYN Flood 攻击防护)。因此 TTL 112 为服务器侧安全设备返回,TTL 48 为真实服务器返回。


问题总结

结合数据包实际情况,剥丝抽茧,一步步分析数据包中各项字段的含义,有助于合理判断真实的故障到底在哪里。


感谢阅读,更多技术文章可关注个人公众号:Echo Reply ,谢谢。
7ACE
关注
专栏目录
Web安全工具—WireShark使用(持续更新)
weixin_44431280的博客
03-11 3642
Web安全工具—WireShark使用(持续更新) 简介:WireShark是当前非常流行和厉害的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息,不仅常用于测试过程定位问题,更在网络故障定位,Web渗透随处可见。 wireshark工具原理介绍: 提要:因为有很多文章都介绍了Wireshark的使用方法,常见过滤表达式,但是很多人只知道如何使用,并不了解其工作机制和表达式的组成机制。 抓包机制: Wireshark通过抓取网卡混杂模式下流量进行分析,当网卡置于混杂模式下,能够接收所有经过
一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
最新发布
dvlinker的技术专栏
10-17 1万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
访问Webtcp传输全过程(三次握手、请求、数据传输、四次挥手)
秋天的原野
12-07 2万+
从输入域名到最后呈现经历的过程: 域名解析 --> 发起TCP的3次握手 --> 建立TCP连接后发起http请求 --> 服务器响应http请求,浏览器得到html代码 --> 浏览器解析html代码,并请求html代码的资源(如js、css、图片等) --> 浏览器对页面进行渲染呈现给用户 --> 四次挥手结束 1.域名解析 首先浏览器会解析 www.zipackage.c
wireshark抓包分析tcp
时光荏苒心依旧的博客
03-19 1万+
Wireshark 窗口介绍   WireShark 主要分为这几个界面 1. Display Filter(显示过滤器),  用于过滤 2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表 3. Packet Details Pane(封包详细信息), 显示封包的字段 4. Disse
Wireshark(Web开发利器)
02-21
终极网络嗅探 Wireshark绿色版(原Ethereal) [免费版] Wireshark是免费的网络协议检测程序,支持Unix,Windows。让您经由程序抓取运行的网站的相关资讯,包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等。 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件,Wireshark的出现改变了这一切。在GNU GPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其程式码,并拥有针对其源代码修改及客制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。
wiresharkweb
weixin_44259638的博客
04-08 5676
wireshark的作用? wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。 什么是网卡? 网卡:网卡(Network Interface Card,简称NIC),也称网络适配器,是电脑与局域网相互连接的设备, 是一块被设计用来允许计算机在计算机网络上进行通讯的计算机硬件。由于其拥有MAC地址,因此属于OSI模型 的第1层和2层之间。它使得用户可以通过电缆或无线相互连接。 第一步:打开wireshark,选择一个要监听的网卡 如下图 一般选择以太网
Wireshark 抓包分析-使用网址、域名访问 Web 服务器后面发生了什么?
@另维
08-19 9656
使用 IP 地址访问 Web 服务器 首先打开 Wireshark,选择 ”HTTP TCP port(80)“ 过滤器,再鼠标双击 ”Npcap loopback A dapter“,开始抓取本机 127.0.0.1 地址上的网络数据。 接着在 Chrome 浏览器地址栏输入”http://127.0.0.1/“,再按下回车键,等欢迎页面显示出来后 Wireshark 就会有铺获的数据包。如下: 抓包分析 在 Wireshark 里可以看到,一共抓取 11 个包,耗时约 0.65 秒,接着看按下回车后数
wireshark网络安全分析工具之万文多图详解(持续更新)
热门推荐
herosunly的博客
03-16 8万+
1. 基本介绍 2. 下载与安装 3. 详细教程 3.1 软件界面介绍 3.1.1 菜单栏 3.1.2 工具栏 3.1.3 数据包列表区 3.1.4 数据包详细区 3.1.5 数据包字节区 3.2 Wireshark过滤器 3.2.1 捕获过滤器 3.2.2 显示过滤器 3.3 过滤规则 3.3.1 语法讲解 3.3.2 过滤实例 4. 实战案例......
stm32搭建web服务
12-06
- 使用网络工具(如Wireshark)或Web浏览器进行测试,确认STM32 Web服务器能够正常响应并发送数据。 7. **优化与扩展**: - 考虑性能优化,如内存管理、并发连接处理等。 - 可以进一步扩展功能,如支持动态网页...
网络安全kali渗透学习 web渗透入门 WireShark抓包及常用协议分析
xueshenlaila的博客
02-16 4182
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 这篇文章教大家WireShark抓包及常用协议分析 以下有视频版还有文字版 不知道怎么操作的请看文字版的,里面详细的步骤。 关注公众号侠盗男爵回复【kali系统】 视频版↓: 网络安全/kali/黑客/web安全/渗透测试/-3-5个月网络安全全套课程-小白入门到精通!_哔哩哔哩_bilibili 文字版↓: 年底了
web渗透—wireshark过滤
dongxie_tk的博客
11-01 504
1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107 或者 ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP 2.过滤端口 例子: tcp.port eq 80 // 不管端口是来源的还是目标的都显示 tcp.port == 80 tcp.p
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 6180
攻击者在输入字段插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求通过查找 SQL 注入语句的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
关于httpclient 连接失效引发的问题
jamal117的博客
12-25 7986
关于httpclient 连接失效引发的问题
wireshark、异常数据分析、常见RST介绍
weixin_33716941的博客
04-13 2541
简介 Wireshark(前称Ethereal)是一个网络封包分析软件,可分析网路状态,丢包率等。 由于公司做的即时通讯业务,其IM模块采用TCP发送数据和控制信令(心跳包)底层采用protobuf传输数据,音视频采用TRP协议,然后给大客户集团提供私有化部署,由于客户网络环境复杂,所以需具备一定的抓包分析能力。 下面介绍常见的TCP层的常用FLAGS。 标志位 描述 SYN ...
计算机网络 Wireshark 实验
qq_56451578的博客
01-02 436
计算机网络 wireshark实验
网络安全基础知识点汇总
m0_74942241的博客
03-30 1256
2、衡量标准:背对背包的测试结果能体现出被测防火墙的缓冲容量, 网络上经常有一些应用会产生大量的突发数据包(例如:NFS、备份、 路由更新等),而且这样的数据包的丢失可能会产生更多的数据包,强大的缓冲能力可以减小这种突发情况对网络造成的影响。对分布式防火墙来说,每个防火墙作为安全监测机制可以根据安全性的不同要求布置在网络的任何需要的位置上,但总体安全策略又是统一策划和管理的,安全策略的分发及日志的汇总都是心管理应具备的功能。◼ 密码分析者能选择不同的被加密的密文,并可得到相应的明文。
wireshark抓包看RTT
weixin_30606669的博客
03-19 8375
wireshark查看RTT值的方法: 1.筛选语句:tcp.analysis.ack_rtt 2.点击ACK数据包: 转载于:https://www.cnblogs.com/fenglt/p/8604409.html
模拟reset包阻断tcp
thinker
05-04 3597
一 RST攻击: A和服务器B之间建立了TCP连接,此时C伪造了一个TCP包发给B,使B异常的断开了与A之间的TCP连接,就是RST攻击了。实际上从上面RST标志位的功能已经可以看出这种攻击如何达到效果了。 那么伪造什么样的TCP包可以达成目的呢?我们至顶向下的看。 假定C伪装成A发过去的包,这个包如果是RST包的话,毫无疑问,B将会丢弃与A的缓冲区上所有数据,强制关掉...
Wireshark抓取TCP报文类型为RST的方法
u010192132的专栏
03-06 1万+
Wireshark有时候需要抓取详细的TCP链接类型,最近需要抓取一个RST报文类型,后来经过研究发现,如果需要在抓取过滤,则设置类型为tcp[13]&4==4 || tcp[13]&4==14 #tcp的flag在偏移13字节的地方,占据1字节Display filter来自于Wireshark,用于对捕获包的显示过滤。Wireshark利用此filter还是实现了coloring rule
wireshark抓取封堵
08-11
回答:根据引用的信息,Wireshark是一种常用的网络数据包抓取工具,可以用于捕获网络流量并分析其的数据包。关于封堵包的抓取,我没有找到直接的引用内容。然而,根据网络安全的常规做法,封堵包通常是由防火墙、入侵检测系统等安全设备进行封锁或过滤的网络数据包。在Wireshark,可以通过设置过滤器来捕获特定的数据包。在这种情况下,你可以使用Wireshark的过滤器功能,以筛选出和封堵包相关的数据包。具体的过滤器规则取决于你想要捕获的封堵包的特征或标识。一旦你设置好过滤器,并开始抓取数据包,Wireshark将只显示符合过滤器规则的数据包,从而帮助你准确定位和分析封堵包。123 #### 引用[.reference_title] - *1* [Wireshark TS | 剥丝抽茧Web 服务封堵](https://blog.csdn.net/weixin_47627078/article/details/122781415)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *2* [安全技术和iptables防火墙](https://blog.csdn.net/ll945608651/article/details/129939676)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *3* [Tomcat- AJP协议文件读取/命令执行漏洞(CVE-2020-1938 / CNVD-2020-10487)](https://blog.csdn.net/qq_55316925/article/details/128998230)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值