精华内容
下载资源
问答
  • Wireshark抓包工具

    2018-05-30 10:19:08
    Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具
  • wireshark怎么抓包wireshark抓包详细图文教程 wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂...

     

    wireshark怎么抓包、wireshark抓包详细图文教程

    wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。
    为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

    wireshark能获取HTTP,也能获取HTTPS,但是不能解密HTTPS,所以wireshark看不懂HTTPS中的内容,总结,如果是处理HTTP,HTTPS 还是用Fiddler, 其他协议比如TCP,UDP 就用wireshark。

    wireshark 开始抓包

    开始界面

    wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

    点击Caputre->Interfaces.. 出现下面对话框,选择正确的网卡。然后点击"Start"按钮, 开始抓包

    Wireshark 窗口介绍

    WireShark 主要分为这几个界面

    1. Display Filter(显示过滤器),  用于过滤

    2. Packet List Pane(封包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。 颜色不同,代表

    3. Packet Details Pane(封包详细信息), 显示封包中的字段

    4. Dissector Pane(16进制数据)

    5. Miscellanous(地址栏,杂项)

     

    使用过滤是非常重要的, 初学者使用wireshark时,将会得到大量的冗余信息,在几千甚至几万条记录中,以至于很难找到自己需要的部分。搞得晕头转向。

    过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。

    过滤器有两种,

    一种是显示过滤器,就是主界面上那个,用来在捕获的记录中找到所需要的记录

    一种是捕获过滤器,用来过滤捕获的封包,以免捕获太多的记录。 在Capture -> Capture Filters 中设置

    保存过滤

    在Filter栏上,填好Filter的表达式后,点击Save按钮, 取个名字。比如"Filter 102",

    Filter栏上就多了个"Filter 102" 的按钮。

    过滤表达式的规则

    表达式规则

    1. 协议过滤

    比如TCP,只显示TCP协议。

    2. IP 过滤

    比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102,

    ip.dst==192.168.1.102, 目标地址为192.168.1.102

    3. 端口过滤

    tcp.port ==80,  端口为80的

    tcp.srcport == 80,  只显示TCP协议的愿端口为80的。

    4. Http模式过滤

    http.request.method=="GET",   只显示HTTP GET方法的。

    5. 逻辑运算符为 AND/ OR

    常用的过滤表达式

    过滤表达式

    用途

    http

    只查看HTTP协议的记录

    ip.src ==192.168.1.102 or ip.dst==192.168.1.102

    源地址或者目标地址是192.168.1.102

      
      

    封包列表(Packet List Pane)

    封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 你可以看到不同的协议用了不同的颜色显示。

    你也可以修改这些显示颜色的规则,  View ->Coloring Rules.

    封包详细信息 (Packet Details Pane)

    这个面板是我们最重要的,用来查看协议中的每一个字段。

    各行信息分别为

    Frame:   物理层的数据帧概况

    Ethernet II: 数据链路层以太网帧头部信息

    Internet Protocol Version 4: 互联网层IP包头部信息

    Transmission Control Protocol:  传输层T的数据段头部信息,此处是TCP

    Hypertext Transfer Protocol:  应用层的信息,此处是HTTP协议

    TCP包的具体内容

    从下图可以看到wireshark捕获到的TCP包中的每个字段。

    看到这, 基本上对wireshak有了初步了解, 现在我们看一个TCP三次握手的实例

    三次握手过程为

    这图我都看过很多遍了, 这次我们用wireshark实际分析下三次握手的过程。

    打开wireshark, 打开浏览器输入 http://www.cr173.com

    在wireshark中输入http过滤, 然后选中GET /tankxiao HTTP/1.1的那条记录,右键然后点击"Follow TCP Stream",

    这样做的目的是为了得到与浏览器打开网站相关的数据包,将得到如下图

    图中可以看到wireshark截获到了三次握手的三个数据包。第四个包才是HTTP的, 这说明HTTP的确是使用TCP建立连接的。

    第一次握手数据包

    客户端发送一个TCP,标志位为SYN,序列号为0, 代表客户端请求建立连接。 如下图

    第二次握手的数据包

    服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图

    第三次握手的数据包

    客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:

    就这样通过了TCP三次握手,建立了连接

     

     

    《Wireshark数据包分析实战(第2版)》从网络嗅探与数据包分析的基础知识开始,渐进地介绍Wireshark的基本使用方法及其数据包分析功能特性,同时还介绍了针对不同协议层与无线网络的具体实践技术与经验技巧。在此过程中,作者结合一些简单易懂的实际网络案例,图文并茂地演示使用Wireshark进行数据包分析的技术方法,使读者能够顺着本书思路逐步地掌握网络数据包嗅探与分析技能。最后,《Wireshark数据包分析实战(第2版)》使用网络管理员、IT技术支持、应用程序开发者们经常遇到的实际网络问题(包括无法正常上网、程序连接数据库错误、网速很卡,以及遭遇扫描渗透、ARP欺骗攻击等),来讲解如何应用Wireshark数据包分析技术和技巧,快速定位故障点,并找出原因以解决实际问题。

     

     

    展开全文
  • 在用wireshark抓TCP的时候如何鉴别到底是不是其客户端连接服务端正确的IP和端口? 有没有什么技巧? 有没有入门级的wireshark教程?
  • wireshark远程抓包

    2012-08-24 22:28:59
    远程服务器:192.168.168.220 客户机:192.168.168.100 现在需要在客户机上远程抓取服务器上的数据。...本示例演示:通过在remote端运行rpcapd服务,win7系统使用wireshark对linux系统进行抓包。 绝对物有所值。
  • 首先我们现在机器上安装ftp服务器,我在自己的机器上安装了QuickFTP Server,它是我随便找来的一款Mac ftp服务器,如下图所示,我将连接端口设置为2100,同时设置了用户名和密码,如此我们就可以通过抓包的方式了解...
  • wireshark抓包简单分析

    千次阅读 2019-07-01 15:14:27
    在进行网络分析时往往只需要知道两个节点是不是能够联通,具体的传输信息并不重要,所以抓包的时候可以设置只抓包头,这样就大大减少了数据包的大小,有利于数据分析。 设置方法:Capture(捕获)–>Options...

    一、网络分析

    0×00:只抓包头

    在进行网络分析时往往只需要知道两个节点是不是能够联通,具体的传输信息并不重要,所以抓包的时候可以设置只抓包头,这样就大大减少了数据包的大小,有利于数据分析。

    设置方法:Capture(捕获)–>Options(选项)–>Snaplen(Snap长度)。

    将这个值设置200以下就可以抓到所有网络层次的头信息了。

    Wireshark469.png

     

    另外也可以直接点击任务栏里的快捷键,快速设置

    Wireshark494.png

     

     

    0×01:只抓必要的包

    我们可以设置抓包的filter,只抓一些感兴趣的包。

    设置方法:Capture(捕获)–>Options(选项)–>Capture Filter(捕获过滤器)

    Wireshark591.png

     

    在输入框里输入规则,然后点击开始即可,比如输入

    dst host 220.181.111.188(捕获目标主机为220.181.111.188的数据包)

    220.181.111.188是ping www.baidu.com的ip地址,不同地理位置ping的ip可能不一样,然后浏览器访问百度就可以看到我们想要的捕获结果。

    Wireshark754.png

     

     

    0×02:过滤

    使用过滤规则进行数据包筛选是Wireshark最强大的功能之一,比如如果知道问题发生的具体协议就可以以协议名称过滤。使用协议过滤时要注意协议之间的依赖性,比如NFS共享挂载失败,问题可能发生在挂载所用的mount协议,也可能发生在mount之前的portmap协议。

    Wireshark898.png

     

    然后就是IP+端口的方式,一个比较简单的方法就是可以在感兴趣的数据包上右键然后点击“追踪流”,就可以看到与这对ip和端口的全部通信。

    Wireshark967.png

     

    也可以在相应的包上右键–>Apply as Filter(作为过滤器应用)–>Selected(选中),Wireshark就可以自动生成相应的过滤规则。这里给出一些常用的规则。

    过滤IP:

    IP源地址:ip.src ==192.168.1.1

    IP目的地址:ip.dst== 192.168.1.1

    IP地址(包括源和目的):ip.addr== 192.168.1.1

    过滤端口:

    TCP端口:tcp.port==80

    TCP目的端口:tcp.dstport == 80

    TCP源端口:tcp.srcport == 80

    UDP端口:udp.port eq 15000

    TCP 1-80之间的端口:tcp.port >= 1 and tcp.port <= 80

    过滤协议:

    http、tcp、udp、arp、icmp、http、smtp、ftp、dns 等。

    过滤MAC地址:

    源MAC地址:eth.src==A0:00:00:04:C5:84

    目的MAC地址:eth.dst==A0:00:00:04:C5:84

    MAC地址(包括源和目的):eth.addr==A0:00:00:04:C5:84

    过滤包长度:

    整个UDP数据包:udp.length==20

    TCP数据包中的IP数据包:tcp.len>=20

    Wireshark4954.png

     

    整个IP数据包:ip.len==20

    整个数据包:frame.len==20

    HTTP模式过滤:

    请求方法为GET:http.request.method==“GET”

    请求方法为POST:http.request.method==“POST”

    指定URI:http.request.uri==“/img/logo-edu.gif”

    请求或相应中包含特定内容:http contains “FLAG”

     

    0×03:自动分析

    Wireshark有强大的统计分析功能,可以帮助分析人员快速统计出一些基本信息。比如点击Analyze(分析)–>Expert InfoComposite(专家信息),就可以看到数据包的中的一些不同级别的信息统计,包含重传次数、链接建立次数、网络错误等,在分析网络性能时这个功能很有作用。

    Wireshark1891.png

     

    单击Statistics(统计)–>TCPStream Graph(TCP流图形),可以生成一些统计图表,比如下图表示171到192的数据传输过程,水平线表示短暂的停止过程。

    Wireshark1983.png

     

    此外还可以统计分层信息、网络会话列表、网络端点列表、ip地址统计列表、应用层数据包信息等。

     

    0×04:搜索

    按“Ctrl+F”Wireshark也可以进行关键字搜索,选择“分组详情”后才可以搜索数据包中的内容,这样的搜索可以在CTF中也许会有意外收获。

    Wireshark2112.png

     

    二、CTF

    下面每一种对应的操作都会给出一到几个CTF题目的例子,帮助大家快速上手。

    0×00:搜索

    题目文件:key.pcapng——https://pan.baidu.com/s/1kVyyCbt

    题目描述:flag被盗,赶紧溯源!

    题目题解:

    首先可以只将这个数据包当做文本文件打开,比如用一些notepad++编辑器,然后直接搜索

    Wireshark2258.png

     

    正经的做法就是用Wireshark自带的搜索功能找尝试查找一些关键词(比如key、flag、shell、pass等),往往直接搜索就能有意外收获。

    Wireshark2334.png

     

    然后跟进可疑的数据包

    Wireshark2347.png

     

    根据数据包特征,很明显看出这是一个菜刀连接一句话木马的数据包,然后往下找,即可看到读取的flag

    Wireshark2398.png

     

     

    0×01:文件提取

    题目文件: caidao.pcapng——https://pan.baidu.com/s/1kVyyCbt

    题目描述:有人偷偷下载了文件!

    题目题解:

    根据题意可能数据包中存在文件传输,尝试直接导出,选择File(文件)–>Export Objexts(导出对象),然后可以看到一些协议,比如选中http就可以看到通过http传输的一些文件,在右下角有导出按钮,可生生成相应的文件。但是本题中无法用此方法直接看到被下载的文件,因为有些文件是直接通过tcp或udp协议传输的,http协议只能看到的访问的链接,但不会看到传输的内容(比如你去访问放一个链接download.php?file=test.rar,通过上述导出对象的方式看不出来下载的文件的内容的),如下如所示。

    Wireshark2718.png

     

    这个时候就需要找到那个执行下载的数据包,找到数据传输的部分再导出,比如下面这个数据包

    Wireshark2763.png

     

    大概是一个菜刀下载的过程,在最后一个包可以看到下载的文件,直接右键点击“导出分组字节流”,然后保存为.tar.gz文件

    Wireshark2825.pngWireshark5299.png

     

    本题中最后还要使用16进制编辑器去除开头和结尾的X@Y字符,这个是菜刀的特征符号,不是文件内容。

    Wireshark2876.png

     

    再或者一个简单的方法,右键“显示分组字节流”,去除前后各三个字节在解压缩

    Wireshark2915.png

     

    再复杂一点就是多个包的数据提取了,一个较大的文件其传输过程可能要经过多个数据包,比如下面这道题目。

    题目文件:misc_fly.p.capng—— https://pan.baidu.com/s/1kVyyCbt

    题目描述:抓到一只苍蝇!

    题目题解:

    首先用HTTP条件过滤一下

    Wireshark3025.png

     

    右键第一个包,追踪流

    Wireshark3038.png

     

    可以看到一些基本信息,首先这是一个POST数据包,发送了一些文件相关信息,包括名称(fly.rar)和大小(525701)等。接下来应该就是文件实际上传的数据包,将过滤条件改为

    http.request.method==”POST”

    Wireshark3157.png

     

    从数据包的结构上看应该就是第二至第六个数据包是数据传输的过程。点开第二个可以看到MediaType的长度为131436=

    Wireshark3220.png

     

    第二到第五个都是一样的长度,第六个为1777,应该是剩余的最后一部分数据。但是131436*4+1777=527521!=525701,再看下第一个数据包

    Wireshark3300.png

     

    都知道rar文件头应该是Rar,但是选中的数据部分前面却多出了很多,简单计算一下一共多出了364,且364*5+525701=527521。所以多出的也许是某种校验数据,在导出的时候将其忽略。

    Wireshark3399.png

     

    每个包都做同样的操作即可得出5个文件,再将这个文件按顺序拼接即可。拼接的话可以使用16进制编辑器手动拼接,也可以使用linux下cat命令,比如“cat 1 2 3 4 5 > fly.rar”。这道题还设置了伪加密,需要修改加密位,将0×84位置改为0×80即可。

    Wireshark3535.png

     

    解压出来后是一个exe可执行文件,里面隐藏了一个png图片,是个二维码,扫描即可得到flag。

    Wireshark3585.png

     

    Flag:flag{m1Sc_oxO2_Fly}

     

    0×02:信息提取

    题目文件: sqlmap.pcap——https://pan.baidu.com/s/1kVyyCbt

    题目描述:

    Wireshark3653.png

     

    题目题解:

    数据包记录的是sqlmap获取flag的过程,使用http && http contains”flag”过滤一下

    Wireshark3719.png

     

    可以看出这是一个布尔盲注的过程,一位一位的读取flag,然后用二分法不断判断其ascii码的范围并最终确定这一位的值。第806个包是读取flag第一位的数据包

    Wireshark3801.png

     

    将其payload解码一下是这样的,判断其ascii码是否大于64

    id=1 AND ORD(MID((SELECTIFNULL(CAST(`value` AS CHAR),0×20) FROM isg.flags ORDER BY `value` LIMIT0,1),1,1))>64

    然后一直到836个包判断第一位ascii码值大于72,然后开始从高到低递减,判断其ascii码不大于73,则第一位的ascii码值是73,对应的字符为I。以此类推,其flag为ISG{BLind_SQl_InJEcTi0N_DeTEcTEd}。本题需要一定的耐心和SQL注入基础。但是这么做可能有些繁琐,其实pcap数据包可以直接用文本编辑器打开,就可以看到其中的http请求

    Wireshark4138.png

     

    所以可以使用字符串搜索的方式直接去查找其中的语句,然后判断flag,首先将原数据包中的http请求导出来,另存为sqli.pcap

    Wireshark4206.png

     

    导出后的文件为: sqli.pcap——https://pan.baidu.com/s/1kVyyCbt

    再使用如下的Python脚本一键读取即可

    Wireshark4258.png

     

    ISG{BLind_SQl_InJEcTi0N_DeTEcTEd}

    三、Tshark

    Tshark是命令行版的Wireshark,相对于Wireshark它有更好地灵活性,结合脚本程序可以发挥巨大的威力,在安装Wireshark的时候就默认安装了Tshark。

    Wireshark4389.png

     

    如下是运行-h参数,具体的参数解释可以参考官方文档

    https://www.wireshark.org/docs/man-pages/tshark.html

    Wireshark4470.png

     

    比如kali下的一个简单的使用示例(windows不知为何无法获取网卡)

    Wireshark4509.png

     

    -s 512:只抓取前512个字节

    -i eth0:监听eth0网卡

    Tshark的-z参数可以进行各种信息的统计,比如下面这条命令,统计每一秒钟里由ip为的192.168.228.128主机发出的http请求的次数

    tshark -zio,stat,1.00,http&&ip.src==192.168.228.128

    程序在监听的时候会不断输出拦截的数据信息

    Wireshark4694.png

     

    最后终止的时候则会给出一个报表

    Wireshark4712.png

     

    这些统计信息都可以直接写入报告或直接导入excel进行下一步处理。

    四、使用Python进行数据包分析

    Python本身也可以解析数据包,它可以向Wireshark一样将pcap数据包分层解析,然后进行数据处理,这里需要安装scapy模块,如果安装不成功可以在kali2.0里尝试运行。网络模型大家应该有所了解,按不同的标准有七层和五层的分法,Wireshark就是按不同层次解析数据。同理scapy也是如此,下面这段代码打开上文提到的sqlmap.pcap数据包后是这样的

    Wireshark4952.png

     

    Wireshark4954.png

     

    scapy主要是分为Ethernet、IP、TCP、Raw这四层,每一层都有每一层的关键字,可以利用键值对的方式直接读取相应的内容。其实Python适合处理大量数据包的情况,比如需要从100个数据包中查找某个特征,使用Wireshark一个一个打开就不现实,可以写脚本批量处理。这里给出一个示例代码,其作用是将/root/pcap文件夹里的数据包全部读取一遍,查找其中存在长度为32的字符串的数据包,并将其写入到另一个文件夹中。(Python对pcapng格式的数据包处

    Wireshark5215.png

     

    Wireshark5217.png

     

    测试数据包如下,是我们上文提到的几个数据包及两个测试数据包

    20160813-084957.pcap/20160813-083457.pcap——https://pan.baidu.com/s/1kVyyCbt

    Wireshark5288.png

     

    然后执行代码运行

    Wireshark5299.png

     

    在result文件夹里可以看到20160813-084957.pcap中存在符合条件的字符串,并且生成了对应的txt文件。同理,我们可以改变查找的规则,在大量数据包中查找我们想要的信息。

    Wireshark5395.png

    展开全文
  • 用39系列交换机镜像抓包配置方法: 一、3900端口镜像配置 步骤一 :[Quidway]mirroring-group 1 local 说明:创建端口镜像组 步骤二:[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22 说明:创建镜像目的...

    用39系列交换机镜像抓包配置方法:
    一、3900端口镜像配置
    步骤一 :[Quidway]mirroring-group 1 local
    说明:创建端口镜像组
    步骤二:[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22
    说明:创建镜像目的端口 22
    备注将电脑的网线接在交换机22端口上面
    最好我们以后要求交换机的22端口为镜像端口 (定一个规则)
    步骤三:
    [Quidway]mirroring-group 1 mirroring-port Ethernet 1/0/8 both
    [Quidway]mirroring-group 1 mirroring-port Ethernet 1/0/9 both
    说明:将网元网口网线所在的交换机端口配置成被镜像端口 这里配置是端口 8和9
    打开电脑上wireshark,跟踪网卡即可.

     

     

     

    可以用PC直连交换机那个口 等方法

    1、PC直连交换机那个口

    2、将该口镜像到交换机别的口,再PC连接

    3、使用集线器

    展开全文
  • 最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。 0x00 华为交换机镜像设置端口抓...

    前言

    最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。
    端口镜像抓包原理

    0x00 华为交换机镜像设置端口抓包

    1、 全局模式下指定一个镜像端口

    observe-port 1 interface g 0/0/4 
    

    2、指定一个监测端口

    int g 0/0/5
    port-mirroring to observe-port 1 outbound
    

    inbound是服务器到内交换机的流量,outbound是交换机到服务器的流量

    3、在指定的端口上接入一台PC或者服务器,此网络口不做IP设置
    4、Wireshark抓包

    0x01 虚拟机、VLAN 设置镜像端口

    1、在交换机上设置一个监测端口,

    observe-port 1 interface G 0/0/4
    

    2、根据IP地址判断其所在的VLAN,在VLAN下配置

    int vlan 20
    mirroring to observe-port 1 inbound
    

    3、在指定的端口上接入一台PC或者服务器,此网络口不做IP设置
    4、Wireshark抓包

    0x02 Wireshark 端口抓包设置

    捕获-选项:
    ①抓包的端口开启混杂,缓存100
    在这里插入图片描述
    ②设置路径和报文大小
    在这里插入图片描述
    ③ 打开抓取30分钟后的报文文件进行病毒过滤查询

    0x03 WireShark 病毒过滤语句

    eth开头到结尾修改你的服务器信息复制到wireshark过滤器中过滤

    [高] H-WORM
    king.servemp3.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches servemp3
    
    [高] Ramnit蠕虫
    eth.addr == 做镜像的服务器MAC地址 and dns.qry.name == fget-career.com
    eth.addr == 做镜像的服务器MAC地址 and dns.qry.name == suewyllie.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches fget-career) or (dns.qry.name matches suewyllie.com))
    
    [高] WannaCry_attack
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches iuqerfsodp
    
    [高] 驱动人生后门
    beahh.com
    abbny.com
    haqo.net
    oo.beahh.com
    ii.haqo.net
    p.abbny.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches beahh) or (dns.qry.name matches abbny) or (dns.qry.name matches haqo))
    eth.addr == 做镜像的服务器MAC地址 and ((dns.qry.name matches beahh) or (dns.qry.name matches abbny) or (dns.qry.name matches haqo))
    
    [中] Andromeda僵尸网络
    buy1.*.ru
    eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches buy1) or (dns.qry.name matches morphed))
    
    [中] CryptInject木马
    v.beahh.com
    eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and dns.qry.name matches beahh
    
    [中] Crypt木马
    rl1.w7q.net
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and dns.qry.name matches w7q
    
    [中] Expiro病毒
    dewpoint-eg.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and dns.qry.name matches dewpoint
    
    [中] Mimikatz
    pp.abbny.com
    o.beahh.com
    i.haqo.net
    类似 驱动人生后门
    
    [中] Sality感染型病毒
    ilo.brenz.pl
    padrup.com
    eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches brenz) or (dns.qry.name matches padrup))
    
    [中] 其他
    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    a.diphon4egalaxyblack42.com
    a.eiphon5egalaxyblack42.com
    download.3721.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches black42) or (dns.qry.name matches 3721))
    
    [中] 飞客蠕虫
    ffwqdfvn.ws
    gtondqoj.cn
    hvvknd.ws
    mxsjffkn.cn
    sipfeakd.cn
    sjlbkdxad.cn
    tzdcquavcel.ws
    wlfih.ws
    zndujppzzmn.com
    ejhsuqt.ws
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches ws) or (dns.qry.name matches sjlbkdxad) or (dns.qry.name matches mxsjffkn) or (dns.qry.name matches sipfeakd) or (dns.qry.name matches gtondqoj))
    
    [低] 老裁缝激活工具
    w7q.net
    类似 Crypt木马
    
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches servemp3) or (dns.qry.name matches buy1))
    

    0x04 驱动人生后门&挖矿病毒手工清除代码

    @echo off
    mode con: cols=85 lines=35 & color 0a
    
    title 挖矿病毒手工清除工具
    :: 软件名称
    
    
    echo -------------------------------------------
    echo -------------------------------------------
    echo       本工具制作于2020年4月23日
    echo        请按照提示一步一步操作
    echo         操作完毕后安装防病毒           
    echo -------------------------------------------
    echo -------------------------------------------     
    
    
    :menu    
    echo.  
    echo.                            
    echo        [1] 删除病毒文件
    echo        [2] 删除病毒计划任务和病毒服务
    echo        [3] 删除注册表
    echo        [4] 删除防火墙规则
    echo        [5] 删除病毒设置的端口转发的设置
    echo        [0] 退出
    echo.
    
    :menu1
    set source=:
    set /p source=   请输入要进行操作的选项:
    set "source=%source:"=%"
    :: 上面这句为判断%source%中是否存在引号,有则剔除。
    
    if "%source%"=="0" exit
    if "%source%"=="1" goto 1
    if "%source%"=="2" goto 2
    if "%source%"=="3" goto 3
    if "%source%"=="4" goto 4
    if "%source%"=="5" goto 5
    
    :: 选择执行的操作
    echo 请输入正确代码
    goto menu1
    
    :1
    
    :: 删除病毒文件
    
    wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate
    :: 停止非正常svchost进程,并删除其文件
    
    echo 删除c:\windows\syswow64\drivers\svchost.exe
    del c:\windows\syswow64\drivers\svchost.exe /a 
    del c:\windows\system32\drivers\svchost.exe /a 
    
    echo 删除c:\windows\temp\svchost.exe
    del c:\windows\temp\svchost.exe /a 
    
    echo 删除c:\windows\syswow64\wmiex.exe
    taskkill /IM wmiex.exe /F
    del c:\windows\syswow64\wmiex.exe /a 
    del c:\windows\system32\wmiex.exe /a 
    
    taskkill /IM taskmgr.exe /F
    echo 删除c:\windows\syswow64\drivers\taskmgr.exe
    del c:\windows\syswow64\drivers\taskmgr.exe /a
    del c:\windows\system32\drivers\taskmgr.exe /a
    
    echo 删除c:\windows\syswow64\svhost.exe
    del c:\windows\syswow64\svhost.exe /a  
    del c:\windows\system32\svhost.exe /a 
     
    del c:\windows\temp\m.ps1 /a
    
    echo 病毒文件删除完毕
    
    
    goto menu
    
    
    :2
    
    :: 删除计划任务
    echo 删除计划任务Drivers
    schtasks /Delete /TN Ddrivers /F 
    echo 删除计划任务WebServers
    schtasks /Delete /TN WebServers /F 
    echo 删除计划任务DnsScan
    schtasks /Delete /TN DnsScan /F 
    echo 删除计划任务\Microsoft\Windows\Bluetooths
    schtasks /Delete /TN "\Microsoft\Windows\Bluetooths" /F 
    echo 计划任务删除完毕
    
    
    ::删除病毒服务Ddriver和webservers
    echo 删除服务Driver
    sc delete Ddriver 
    echo 删除服务WebServers
    sc delete webservers 
    echo 病毒服务删除完毕
    
    goto menu
    
    :3
    
    ::删除注册表
    echo 删除注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver;
    reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Ddriver /f 
    echo 删除注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers
    reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WebServers /f 
    echo 注册表删除完毕
    
    goto menu
    
    :4
    
    ::删除防火墙规则
    echo 删除入站规则名为denny445的规则
    netsh advfirewall firewall del rule name=denyy445
    echo 删除入站规则名为udp的规则
    netsh advfirewall firewall del rule name=udp 
    echo 删除入站规则名为udp2的规则
    netsh advfirewall firewall del rule name=udp2 
    echo 删除入站规则名为ShareService的规则
    netsh advfirewall firewall del rule name=ShareService 
    
    goto menu
    
    :5
    ::删除病毒设置的端口转发的设置
    echo 删除65531端口转发
    netsh interface portproxy delete v4tov4 listenport=65531 
    echo 删除65532端口转发
    netsh interface portproxy delete v4tov4 listenport=65532 
    
    goto menu
    

    注:中勒索病毒后445端口被deny掉,所以没有办法开默认共享

    展开全文
  • 不过,Wireshark启动USB抓包之后,会把同一总线的所有USB包抓下来,这个默认的设置对我们来说实在受不了,因为大多的包都是与我们分析无关的无效包。这时我们希望只抓我们需要的那个地址就好了,如何找到这个地址呢?...
  • 在linux上使用wireshark软件涉及命令
  • 测试笔记: 1.设备离线原因:极有可能是mac没写进去 tzsys macwl xxxxxxxx tzsys macrl 2.读取写入sn:(恢复出厂后第一次写会...4.开启远程网关抓包,设备是不能直接抓网关的,连交换机就可以。 rpcapd -d -n 点击o
  • Wireshark之远程抓包

    千次阅读 2020-04-14 18:13:27
    wireshark可以实现本地抓包,同时Wireshark也支持remote packet capture protocol(rpcapd)协议远程抓包,只要在远程主 机上安装相应的rpcapd服务就可以实现在本地电脑执行wireshark 捕获远程电脑的流量了 2....
  • wireshark是非常流行的网络封包分析软件,功能十分强大。可以截取各种网络封包,显示网络封包的详细信息。使用wireshark的人必须了解网络协议,否则就看不懂wireshark了。 为了安全考虑,wireshark只能查看封包,而...
  • wireshark过滤端口范围

    千次阅读 2019-05-31 16:33:31
    wireshark中,如果我们要过滤端口范围,比如过滤1000到2000端口的数据 网上给的表达式都是tcp.port < 20000 and tcp.port >10000, 然而,我们会发现这个表达式并不能过滤出我们要的数据包,过滤端口范围...
  • wireshark命令行抓包

    千次阅读 2019-08-09 14:27:59
    一般情况下用界面抓包就行了,但不能抓太久,吃内存 特殊情况下:比如不知道什么时候会出现问题,或者出现问题再抓包已经来不及了 用命令行抓就不需要担心上述问题了: 1.安装wireshark,我这边装的是Wireshark-...
  • wireshark网络抓包详解

    2021-07-27 23:43:43
    Wireshark是一款非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息。 为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wireshark能获取HTTP,也能获取...
  • mac打开wireshark抓包报错,显示权限不允许 “The capture session could not be initiated on interface ‘en0’ (You don’t have permission to capture on that device). Please check to make sure you have ...
  • Wireshark实战之抓包MySQL Java客户端

    千次阅读 2018-05-23 23:35:56
    Linux抓包:tcp host抓包不到,tcp ip host可以http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.htmltcpdump ip host 210.27.48.1tcpdump 与wiresharkWireshark(以前是ethereal)是Windows下非常简单...
  • wireshark 抓包过滤器使用

    千次阅读 2019-02-12 14:47:22
    文章目录wireshark 抓包过滤器一、抓包过滤器过滤mac地址:过滤IP地址:过滤端口:过滤协议:二、显示过滤器比较符:逻辑操作符:ip地址:端口过滤:协议过滤: wireshark 抓包过滤器 过滤器分为抓包过滤器和显示...
  • wireshark抓包使用教程

    2021-08-04 10:46:57
    2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。 3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。 ...
  • Fiddler结合wireshark实现手机端抓包 背景: 由于各种调试需要,我们可能需要对移动端产品进行抓包方便分析问题定位问题。这里有两个常用工具,结合起来就可以实现手机端各类数据包抓取。 场景:在测试手机客户端...
  • wireshark在捕获的过程前,我们...以下语法是针对wireshark抓包之前的过滤语句!!! 以下语法是针对wireshark抓包之前的过滤语句!!! 以下语法是针对wireshark抓包之前的过滤语句!!! 常见的过滤前命令: 基于I...
  • tcpdump抓包命令和wireshark抓包分析

    万次阅读 多人点赞 2018-09-03 16:59:59
    tcpdump抓包命令 tcpdump 的抓包保存到文件的命令参数是-w xxx.cap 抓eth1的包 tcpdump -i eth1 -w /tmp/xxx.cap 抓 192.168.1.123的包 tcpdump -i eth1 host 192.168.1.123 -w /tmp/xxx.cap 抓192.168.1.123的...
  • Wireshark详细抓包教程

    万次阅读 2020-05-04 13:32:44
    wieshark简介 wireshark是一个免费开源的网络数据包分析软件,功能十分强大。可以截取各种网络数据包,显示网络数据包...2.wireshark是捕获机器上的一块网卡的网络,当你有多块网卡时,选择其中的一个。 当你只...
  • 使用Wireshark远程抓包服务器

    千次阅读 2019-08-17 11:20:39
    【重点声明】此系列仅用于工作和学习,禁止用于非法攻击,非法传播。一切遵守《网络安全法》 ...所以这篇文章介绍一下远程抓包,这样就可以获取整个局域网的数据包信息 1.服务器安装rpcapd: apt-get in...
  • wireshark抓包工具查看协议端口

    万次阅读 2016-05-27 16:48:54
    wireshark抓包工具查看报文具体的数字端口信息 视图-> 解析名称->解析传输层地址
  • FTP实验wireshark抓包

    千次阅读 2020-06-19 11:53:49
    2.3抓包分析 2.3.1连接建立 客户端和服务器端主动发起连接请求,并用一个随机源端口号2057,和目的端口号21进行TCP三次握手建立控制通道的TCP连接。 控制通道建立成功后,需要进行身份认证,由于此处我设置的是...
  • 由于QUIC是基于TLS1.3构建的,所以在用wireshark对quic进行抓包时,经常会出现只能看到部分quic包数据的情况,为了更好的了解和研究quic,我们需要对包进行解密。 未解密quic包: 解密quic包: 经过两图对比...
  • Wireshark抓包iOS入门教程

    千次阅读 2017-06-22 13:31:57
    网络抓包是个基础技能,对于网络协议的掌握有一定的要求。iOS上实现网络抓包可以用Charles(针对http和https),...之前写过一篇介绍tcpdump抓包的入门文章,和tcpdump相比,Wireshark提供丰富的GUI交互,而且能

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 16,202
精华内容 6,480
关键字:

wireshark根据端口抓包