精华内容
下载资源
问答
  • 老师布置任务,准备做一个类似于FTP协议解析的软件,初步先让我用WireShark多抓抓ftp的包,来研究一下。 我想通过访问FTP服务器并随意下载一些东西,在此过程进行抓包。但是现在的问题是现在找不到FTP服务器资源啊...
  • 这次为大家带来一篇使用Wireshark抓取Telnet、FTP、路由器登陆密码的教程,目的是为了在理论的基础上进一步提升实战技术,文章可能有遗漏或错误之处,还请各位积极提出. 实验环境:Wireshark、开启Telnet、FTP服务的...
    这次为大家带来一篇使用Wireshark抓取Telnet、FTP、路由器登陆密码的教程,目的是为了在理论的基础上进一步提升实战技术,文章可能有遗漏或错误之处,还请各位积极提出.
    
    实验环境:Wireshark、开启Telnet、FTP服务的Windows2003、一台路由器.
    Windows2003的IP为:10.10.10.140

    Router的IP为:192.168.88.254


    S1:我们先测试一下两台主机是否ping通,如图1-1.

    图1-1.
    S2:我们使用Wireshark开始抓包,抓包过程相信大家都懂的...
    我们选中Telnet协议的数据包点击 追踪流->TCP流.

    图1-2.
    S3:再找到FTP协议的数据包通过他的Packet List界面下就可以看到你想要的字符串.

    图1-3.
    S4:最后就是找路由器Web界面的数据包了.


    图1-4.
    本次实验路由器使用的是明文传输的HTTP协议,因此直接抓包就可以发现用户名和密码,非常简单粗暴.

    看完了就赶紧去踹一踹,别做吃瓜群众.


    You can find me by qq:1762458611


    展开全文
  • wireshark抓取数据包

    2015-03-18 16:01:36
    在看计算机网络的时候配合着wireshark来实际感受一下各层次的协议会有更直观的感受,下面的一些知识点是熟练运用wireshark所必备的,我也是边学习边使用边记录,会长期更新。  1、wireshark是捕获机器上的某一块...

        在看计算机网络的时候配合着wireshark来实际感受一下各层次的协议会有更直观的感受,下面的一些知识点是熟练运用wireshark所必备的,我也是边学习边使用边记录,会长期更新。


    第一部分  基础介绍


       1、wireshark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。

       2、为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。

        3、主界面如下:

       

     

        主界面共分四个层次,下面对每一层进行讲解,尤其是封包详细信息:

        (1)显示过滤:稍后会对过滤规则进行详细介绍

        (2) 封包列表:封包列表的面板中显示,编号,时间戳,源地址,目标地址,协议,长度,以及封包信息。 可以看到不同的协议用了不同的颜色显示。

        (3) 封包详细信息,展开后的界面如下所示:

         


     第二部分  过滤规则

      

      1.过 滤IP,如来源IP或者目标IP等于某个IP

    例子:
    ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107
    或者
    ip.addr eq 192.168.1.107

    2.过滤端 口

    例子:
    tcp.port eq 80 // 不管端口是来源的还是目标的都显示
    tcp.port == 80
    tcp.port eq 2722
    tcp.port eq 80 or udp.port eq 80
    tcp.dstport == 80 // 只显tcp协议的目标端口80
    tcp.srcport == 80 // 只显tcp协议的来源端口80

    udp.port eq 15000

    过滤端口范围
    tcp.port >= 1 and tcp.port <=80

    3.过 滤协议

    例子:
    tcp
    udp
    arp
    icmp
    http
    smtp
    ftp
    dns
    msnms
    ip
    ssl
    oicq
    bootp
    等 等

    排除arp包,如!arp 

    或者  not arp

    4.过 滤MAC

    太以网头过滤
    eth.dst == A0:00:00:04:C5:84 //过滤目 标mac
    eth.src eq A0:00:00:04:C5:84 //过 滤来源mac
    eth.dst==A0:00:00:04:C5:84
    eth.dst==A0-00-00-04-C5-84
    eth.addr eq A0:00:00:04:C5:84 //过滤来 源MAC和目标MAC都等于A0:00:00:04:C5:84的

    less than 小于 < lt
    小于等于 le

    等 于 eq

    大于 gt
    大于等于 ge

    不等 ne


    5.包长度过 滤

    例子:
    udp.length == 26 这个长度是指udp本身固定长度8加上udp下面那块数据包之和
    tcp.len >= 7 
    指的是ip数据包(tcp下面那块数据),不包括tcp本身
    ip.len == 94 除了以太网头固定长度14,其它都算是ip.len,即从ip本身到最后
    frame.len == 119 整个数据包长度,从eth开始到最后

    eth ---> ip or arp ---> tcp or udp---> da
    ta

    6.http 模式过滤

    例子:
    http.request.method == "GET"
    http.request.method == "POST"
    http.request.uri == "/img/logo-edu.gif"
    http contains "GET"
    http contains "HTTP/1."

    // GET包
    http.request.method == "GET" &&http contains "Host: "
    http.request.method == "GET" &&http contains "User-Agent: "
    // POST包
    http.request.method == "POST" &&http contains "Host: "
    http.request.method == "POST" &&http contains "User-Agent: "
    // 响应包
    http contains "HTTP/1.1 200 OK" &&http contains "Content-Type: "
    http contains "HTTP/1.0 200 OK" &&http contains "Content-Type: "
    一 定包含如下
    Content-Type:


    7.TCP参数过 滤

    tcp.flags 显示包含TCP标志的封包。
    tcp.flags.syn == 0x02 
        显示包含TCP SYN标志的封包。
    tcp.window_size == 0 &&tcp.flags.reset != 1

    8.过滤内容


    tcp[20] 表示从20开始,取1个字符
    tcp[20:]表示从20开始,取1个字符以上
    tcp[20:8]表示从20开始,取8个字符
    tcp[offset,n]

    udp[8:3]==81:60:03 // 偏移8个bytes,再取3个数,是否与==后面的数据相等?
    udp[8:1]==32 
    如果我猜的没有错的话,应该是udp[offset:截取个数]=nValue
    eth.addr[0:3]==00:06:5B

    例 子:
    判断upd下面那块数据包前三个是否等于0x20 0x21 0x22
    我们都知道udp固定长度为8
    udp[8:3]==20:21:22

    判 断tcp那块数据包前三个是否等于0x20 0x21 0x22
    tcp一般情况下,长度为20,但也有不是20的时候
    tcp[8:3]==20:21:22
    如 果想得到最准确的,应该先知道tcp长度

    matches(匹配)和contains(包含某字符串)语法
    ip.src==192.168.1.107 and udp[8:5] matches"\\x02\\x12\\x21\\x00\\x22"
    ip.src==192.168.1.107 and udp contains 02:12:21:00:22
    ip.src==192.168.1.107 and tcp contains "GET"
    udp contains 7c:7c:7d:7d匹配payload中含有0x7c7c7d7d的UDP数据包,不一定是从第一字节匹配。

    例子:
    得到本地qq登陆数据包(判断条 件是第一个包==0x02,第四和第五个包等于0x00x22,最后一个包等于0x03)
    0x02 xx xx 0x00 0x22 ... 0x03
    正确
    oicq and udp[8:] matches"^\\x02[\\x00-\\xff][\\x00-\\xff]\\x00\\x22[\\x00-\\xff]+\\x03$"
    oicq and udp[8:] matches"^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$" // 登陆包
    oicq and (udp[8:] matches "^\\x02[\\x00-\\xff]{2}\\x03$" or tcp[8:]matches "^\\x02[\\x00-\\xff]{2}\\x03$")
    oicq and (udp[8:] matches"^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$" or tcp[20:]matches"^\\x02[\\x00-\\xff]{2}\\x00\\x22[\\x00-\\xff]+\\x03$")

    不 单单是00:22才有QQ号码,其它的包也有,要满足下面条件(tcp也有,但没有做):
    oicq and udp[8:] matches "^\\x02[\\x00-\\xff]+\\x03$" and!(udp[11:2]==00:00) and !(udp[11:2]==00:80)
    oicq and udp[8:] matches "^\\x02[\\x00-\\xff]+\\x03$" and!(udp[11:2]==00:00) and !(udp[15:4]==00:00:00:00)
    说明:
    udp[15:4]==00:00:00:00 表示QQ号码为空
    udp[11:2]==00:00 表示命令编号为00:00
    udp[11:2]==00:80 表示命令编号为00:80
    当命令编号为00:80时,QQ号码为 00:00:00:00

    得到msn登陆成功账号(判断条件是"USR 7 OK",即前三个等于USR,再通过两个0x20,就到OK,OK后面是一个字符0x20,后面就是mail了)
    USR xx OK mail@hotmail.com
    正确
    msnms and tcp and ip.addr==192.168.1.107 and tcp[20:] matches"^USR\\x20[\\x30-\\x39]+\\x20OK\\x20[\\x00-\\xff]+"

    9.dns 模式过滤


    10.DHCP

    以 寻找伪造DHCP服务器为例,介绍Wireshark的用法。在显 示过滤器中加入过 滤规则,
    显示所有非来自DHCP服务器并且bootp.type==0x02(Offer/Ack)的信息:
    bootp.type==0x02 and not ip.src==192.168.1.1

    11.msn

    msnms && tcp[23:1] == 20 //第四个是0x20的msn数据包
    msnms && tcp[20:1]>= 41 && tcp[20:1]<= 5A && tcp[21:1]>= 41 && tcp[21:1]<= 5A && tcp[22:1]>= 41 && tcp[22:1]<= 5A
    msnms && tcp[20:3]=="USR" //找到命令编码是USR的数据包
    msnms && tcp[20:3]=="MSG" //找到命令编码是MSG的数据包
    tcp.port == 1863 || tcp.port == 80

    如何判断数据包是含 有命令编码的MSN数据包?
    1)端口为1863或者80,如:tcp.port == 1863 || tcp.port == 80
    2) 数据这段前三个是大写字母,如:
    tcp[20:1] >= 41 &&tcp[20:1] <= 5A &&tcp[21:1] >= 41 &&tcp[21:1] <= 5A &&tcp[22:1] >= 41 &&tcp[22:1] <= 5A
    3)第四个为0x20,如:tcp[23:1] == 20
    4)msn是属于TCP协议的,如 tcp

               

    展开全文
  • 使用Wireshark抓取数据包

    千次阅读 2019-08-02 11:06:31
    打开wireshark,菜单–>捕获–>捕获过滤器(F),如图1 在捕获过滤器设置页面(如图2),新增,如图2左边是捕获过滤器名称,右边是捕获过滤器规则,常用的规则如: 1、根据端口号去过滤:port 360 2、根据ip去...

    1、通过wireshark官网下载:https://www.wireshark.org/

    2、设置捕获过滤器
    打开wireshark,菜单–>捕获–>捕获过滤器(F),如图1
    图1
    在捕获过滤器设置页面(如图2),新增,如图2左边是捕获过滤器名称,右边是捕获过滤器规则,常用的规则如:
    1、根据端口号去过滤:port 360
    2、根据ip去过滤:host 192.168.2.117
    图2
    3、使用过滤器进行抓包
    如图3,点击"选择捕获"按钮,选择一个网络连接,,在下拉列表中选择一个捕获过滤,然后点开始。
    图3
    4、然后通过图4,查看要抓取的包的详情
    图4

    展开全文
  • WireShark抓取网站用户名和密码

    千次阅读 2020-03-15 17:42:18
    由于WireShark默认抓取所有的请求包,所以要进行筛选,将无用的包过滤掉。 对网站进行ping测试,一般都会得到一个ip地址,这个ip地址就是待会我们需要留存的信息。 WireShark支持命令行筛选,我们需要输入限制数据包...

    为了方便记录,这里抓取的是自己随便注册的一个帐号。

    打开WireShark,选用无线网络连接,双击之后软件自动开始抓包。
    在这里插入图片描述
    然后到网站进行登录,登录成功后就可以停止抓包。

    由于WireShark默认抓取所有的请求包,所以要进行筛选,将无用的包过滤掉。

    对网站进行ping测试,一般都会得到一个ip地址,这个ip地址就是待会我们需要留存的信息。

    WireShark支持命令行筛选,我们需要输入限制数据包的语句,例如:http and id.addr==xxx.xxx.xxx.xxx

    WireShark就会过滤掉其他所有不满足要求的数据包而只留下我们要寻找的数据包。
    在这里插入图片描述可以一个接一个的查看,也可以继续进行过滤,因为登录的方式大多都是POST,所以再对请求方式做一个过滤:
    在这里插入图片描述这里就找到了网站的登录页面,然后点开它的详细信息
    在这里插入图片描述就得到了用户名密码信息,值得一提的是有些网站帐号密码信息会用MD5加密,就需要对密文进行解密。

    如果有人和你公用一个无线网络,那么也可以通过WireShark抓取他的数据包,只需要知道他登录的网站,对网站ip进行溯源,就可以得到他的敏感信息。这也是老生常谈的不要随意连接WIFI的原因。

    展开全文
  • wireshark过滤表达式&wireshark捕获ftp协议分析

    万次阅读 多人点赞 2017-10-15 20:40:59
    记录学习Wireshark的一些问题,主要是: 1.过滤表达式 2.本机搭建ftp站点 3.利用wireshark捕获ftp的协议交互过程并对此进行分析
  • Wireshark学习FTP流程—数据包.z0 Wireshark学习FTP流程—数据包资源分卷0共计4个分卷
  • 抓包采用wireshark,提取特征时,要对session进行过滤,找到关键的stream,这里总结了wireshark过滤的基本语法,供自己以后参考。(脑子记不住东西) wireshark进行过滤时,按照过滤的语法可分为协议过滤和内容过滤...
  • 利用wireshark抓取Telnet明文用户名和密码 1. 首先开启wireshark,然后进行抓包 2. 增设过滤条件,过滤掉无关的包,例如本文中的过滤条件是:ip.dst == 192.168.2.90 and tcp.port== 23 3. 如图: 注...
  • 通过wireshark抓取telnet登陆密码

    万次阅读 2016-03-15 21:10:42
    先打开wireshark捕获无线网卡。 使用telnet登陆如图所示: 按下回车 笔者这里输入的密码是:A603 现在回到wireshark停止抓包 并且在filter处输入如下的过滤规则 ip.addr==...
  • 后来就换着使用WireShark抓取手机上的网络请求。 WireShark功能非常强大,它能过滤几乎所有的协议,并且也很少出现卡顿的情况,体验起来确实比Charles要好。在介绍使用WireShark之前,我们首先要了解一些常...
  • winpcap是用于网络封包抓取的一套工具,可适用于32/64位的操作平台上解析网络封包,包含了数据包截获驱动程序,一个底层动态链接库,和一个高层静态链接库,winpcap在内核中把所有网卡收到的报文复制一份。...
  • Wireshark学习FTP流程

    万次阅读 2015-01-25 12:01:46
    winpcap是用于网络封包抓取的一套工具,可适用于32/64位的操作平台上解析网络封包,包含了数据包截获驱动程序,一个底层动态链接库,和一个高层静态链接库,winpcap在内核中把所有网卡收到的报文复制一份。
  • 玩转wireshark系列第四篇-抓取ftp

    万次阅读 多人点赞 2018-07-01 11:21:07
    (首先声明一下我也是一名小白,初学wireshark没多久,我也很愿意和大家一起讨论wireshark的具体应用。)本实验使用的版本是wireshark2.4.7版,选择“捕获”-“选项”。选择当前连的网,一般选择流量“起起伏伏”的...
  • Wireshark 重组 FTP 会话

    千次阅读 2016-03-01 15:42:54
    使用重组功能后,Wireshark将会重新组成一个新的会话。 在使用重组功能前,一定要确保 Allow subdissector to reassemble TCP streams 选项已启用。如果没有启用,在 Wireshark 菜单栏中依次选择 Edit|Preferences|...
  • WiresharkFTP协议分析(一)

    千次阅读 2018-11-15 22:05:17
    最近项目需求,需要抓取并还原网络中通过ftp传输的文件。故对ftp协议进行了简单学习,总结如下。 1. ftp协议概述 这部分内容我参考的百度文库的一篇文档: ... 里面讲的很详细。在此对重点的部分进行总结一下。...
  • 实验二 简单网络命令和wireshark捕获FTP用户名密码 预备知识 Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用...
  • wireshark 抓取telnet登录用户名和密码

    千次阅读 2011-04-25 20:12:00
    平台CentOS(linux)+ODS(win7)+wireshark 1、在linux主机上建立测试用户 用户名:...# passwd ethnicitybeta 2、在DOS端通过TELNET登录linux主机(此时已经打开wireshark软件) C:/
  • WiresharkFTP协议分析(二)

    千次阅读 2018-11-15 23:19:42
    以实际抓包来分析ftp协议,加深理解。 环境: win7电脑+linux设备,linux设备为ftp服务端,win7电脑通过WinSCP的ftp主动方式(我得版本winscp默认是被动方式,需要从高级选项修改)来连接ftp服务端。 过程: ...
  • 实验:Wireshark软件在运用FTP命令时抓取TCP头结构 实验目的 掌握FTP服务器的搭建方法,FTP的使用。 学习传输控制协议TCP,分析TCP的头结构和TCP的工作原理,观察TCP的“三次握手”和“四次挥手”。 实验要求...
  • wireshark学习(二)

    2021-04-30 13:35:46
    wireshark获取DNS数据包 wireshark抓取ftp登录用户名和密码信息
  • (转自:... (首先声明一下我也是一名小白,初学wireshark没多久,我也很愿意和大家一起讨论wireshark的具体应用。)本实验使用的版本是wireshark2.4.7版,选择“捕获”-“选...
  • 案例取自 Wireshark 官方问答论坛 问题描述 该问题提出者描述两客户端通过长途专线进行连接,往返时间约 36ms。通过 FTP 从 251 客户端上传到 179 客户端时,速度为 3.5MBps,正常无问题。但是通过 FTP 从 179 ...
  • wireshark抓包分析FTP

    千次阅读 2019-11-06 18:29:19
    简单通过抓把分析下ftp从登陆步骤 首先找到网上一个公用的ftp地址...打开wireshark,条件过滤:ip.addr==194.71.11.173 首先包28,35,36 tcp三次握手建立连接,说明ftp是建立在tcp协议之上的。 首先客户端主...
  • ** 1、抓取ftp协议并保存下来 (1)打开我的电脑,在搜索栏输入一个ftp地址 (2)然后在wireshark里输入ftp,就可以看到抓取的ftp协议啦! (3)要想保存的话得按下左上角的红色正方形暂停键,然后点左上角的文件里...
  • wireshark过滤抓取到的数据包

    千次阅读 2008-03-20 09:01:00
    wireshark是一款经典的免费抓包工具,在其中可以进行数据包的过滤查看所有192.168.1.118上进出的数据ip.addr==192.168.1.118查看所有ftp协议的数据proto=ftp查看mac地址为000000000000的数据ether 000000000000查看...
  • wireshark学习
  • WireShark捕捉不到FTP数据包

    千次阅读 2020-06-22 10:22:32
    开启wireshark抓包工具,在过滤器一栏中输入本机的IP地址,格式为ip.addr=…。在测试机上利用cmd命令行登录ftp服务器: ftp 本台主机域名 连接到服务器 输入用户名 输入对应的密码 执行ls命令 get license.txt 下载...
  • 然后打开wireshark,在过滤条件中输入tcp.port==2100,接着开始监听,如此就能抓取相应ftp数据包。接着我从手机上使用ftp客户端连接到服务器,同时使用设置好的用户名密码登陆,在wireshark上抓包结果如下: 注意到...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,146
精华内容 858
关键字:

wireshark抓取ftp