精华内容
下载资源
问答
  • wireshark+网管交换机抓包教程

    千次阅读 2019-04-12 10:28:30
    如果A和B通信,C来抓包,可以选择网管交换机设备 浏览器输入...如果A和B通信,A或B来抓包,则直接运行A或BWireshark即可。 教程很多,我就不一一粘贴了。比如: https://blog.csdn.net/u0132584...

    如果A和B通信,C来抓包,可以选择网管交换机设备

    在浏览器输入http://192.168.0.1/ 进入交换机配置,用户名密码均为admin,配置端口镜像。

    端口1和端口2之间的双向数据都会被镜像到端口5。

    如果A和B通信,A或B来抓包,则直接运行A或B上的Wireshark即可。

    教程很多,我就不一一粘贴了。比如:

    https://blog.csdn.net/u013258415/article/details/77877746

    https://blog.csdn.net/lhorse003/article/details/71758019

    展开全文
  • 用39系列交换机镜像抓包配置方法: 一、3900端口镜像配置 步骤一 :[Quidway]mirroring-group 1 local 说明:创建端口镜像组 步骤二:[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22 说明:创建镜像目的...

    用39系列交换机镜像抓包配置方法:
    一、3900端口镜像配置
    步骤一 :[Quidway]mirroring-group 1 local
    说明:创建端口镜像组
    步骤二:[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22
    说明:创建镜像目的端口 22
    备注将电脑的网线接在交换机22端口上面
    最好我们以后要求交换机的22端口为镜像端口 (定一个规则)
    步骤三:
    [Quidway]mirroring-group 1 mirroring-port Ethernet 1/0/8 both
    [Quidway]mirroring-group 1 mirroring-port Ethernet 1/0/9 both
    说明:将网元网口网线所在的交换机端口配置成被镜像端口 这里配置是端口 8和9
    打开电脑上wireshark,跟踪网卡即可.

     

     

     

    可以用PC直连交换机那个口 等方法

    1、PC直连交换机那个口

    2、将该口镜像到交换机别的口,再PC连接

    3、使用集线器

    展开全文
  • 最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。 0x00 华为交换机镜像设置端口...

    前言

    最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。
    端口镜像抓包原理

    0x00 华为交换机镜像设置端口抓包

    1、 全局模式下指定一个镜像端口

    observe-port 1 interface g 0/0/4 
    

    2、指定一个监测端口

    int g 0/0/5
    port-mirroring to observe-port 1 outbound
    

    inbound是服务器到内交换机的流量,outbound是交换机到服务器的流量

    3、在指定的端口上接入一台PC或者服务器,此网络口不做IP设置
    4、Wireshark抓包

    0x01 虚拟机、VLAN 设置镜像端口

    1、在交换机上设置一个监测端口,

    observe-port 1 interface G 0/0/4
    

    2、根据IP地址判断其所在的VLAN,在VLAN下配置

    int vlan 20
    mirroring to observe-port 1 inbound
    

    3、在指定的端口上接入一台PC或者服务器,此网络口不做IP设置
    4、Wireshark抓包

    0x02 Wireshark 端口抓包设置

    捕获-选项:
    ①抓包的端口开启混杂,缓存100
    在这里插入图片描述
    ②设置路径和报文大小
    在这里插入图片描述
    ③ 打开抓取30分钟后的报文文件进行病毒过滤查询

    0x03 WireShark 病毒过滤语句

    eth开头到结尾修改你的服务器信息复制到wireshark过滤器中过滤

    [高] H-WORM
    king.servemp3.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches servemp3
    
    [高] Ramnit蠕虫
    eth.addr == 做镜像的服务器MAC地址 and dns.qry.name == fget-career.com
    eth.addr == 做镜像的服务器MAC地址 and dns.qry.name == suewyllie.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and ((dns.qry.name matches fget-career) or (dns.qry.name matches suewyllie.com))
    
    [高] WannaCry_attack
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
    www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址) and dns.qry.name matches iuqerfsodp
    
    [高] 驱动人生后门
    beahh.com
    abbny.com
    haqo.net
    oo.beahh.com
    ii.haqo.net
    p.abbny.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches beahh) or (dns.qry.name matches abbny) or (dns.qry.name matches haqo))
    eth.addr == 做镜像的服务器MAC地址 and ((dns.qry.name matches beahh) or (dns.qry.name matches abbny) or (dns.qry.name matches haqo))
    
    [中] Andromeda僵尸网络
    buy1.*.ru
    eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches buy1) or (dns.qry.name matches morphed))
    
    [中] CryptInject木马
    v.beahh.com
    eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and dns.qry.name matches beahh
    
    [中] Crypt木马
    rl1.w7q.net
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and dns.qry.name matches w7q
    
    [中] Expiro病毒
    dewpoint-eg.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and dns.qry.name matches dewpoint
    
    [中] Mimikatz
    pp.abbny.com
    o.beahh.com
    i.haqo.net
    类似 驱动人生后门
    
    [中] Sality感染型病毒
    ilo.brenz.pl
    padrup.com
    eth.addr ==做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches brenz) or (dns.qry.name matches padrup))
    
    [中] 其他
    iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    a.diphon4egalaxyblack42.com
    a.eiphon5egalaxyblack42.com
    download.3721.com
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches black42) or (dns.qry.name matches 3721))
    
    [中] 飞客蠕虫
    ffwqdfvn.ws
    gtondqoj.cn
    hvvknd.ws
    mxsjffkn.cn
    sipfeakd.cn
    sjlbkdxad.cn
    tzdcquavcel.ws
    wlfih.ws
    zndujppzzmn.com
    ejhsuqt.ws
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches ws) or (dns.qry.name matches sjlbkdxad) or (dns.qry.name matches mxsjffkn) or (dns.qry.name matches sipfeakd) or (dns.qry.name matches gtondqoj))
    
    [低] 老裁缝激活工具
    w7q.net
    类似 Crypt木马
    
    eth.addr == 做镜像的服务器MAC地址 and !(ip.dst == 做镜像的服务器IP地址)  and ((dns.qry.name matches servemp3) or (dns.qry.name matches buy1))
    

    0x04 驱动人生后门&挖矿病毒手工清除代码

    @echo off
    mode con: cols=85 lines=35 & color 0a
    
    title 挖矿病毒手工清除工具
    :: 软件名称
    
    
    echo -------------------------------------------
    echo -------------------------------------------
    echo       本工具制作于2020年4月23日
    echo        请按照提示一步一步操作
    echo         操作完毕后安装防病毒           
    echo -------------------------------------------
    echo -------------------------------------------     
    
    
    :menu    
    echo.  
    echo.                            
    echo        [1] 删除病毒文件
    echo        [2] 删除病毒计划任务和病毒服务
    echo        [3] 删除注册表
    echo        [4] 删除防火墙规则
    echo        [5] 删除病毒设置的端口转发的设置
    echo        [0] 退出
    echo.
    
    :menu1
    set source=:
    set /p source=   请输入要进行操作的选项:
    set "source=%source:"=%"
    :: 上面这句为判断%source%中是否存在引号,有则剔除。
    
    if "%source%"=="0" exit
    if "%source%"=="1" goto 1
    if "%source%"=="2" goto 2
    if "%source%"=="3" goto 3
    if "%source%"=="4" goto 4
    if "%source%"=="5" goto 5
    
    :: 选择执行的操作
    echo 请输入正确代码
    goto menu1
    
    :1
    
    :: 删除病毒文件
    
    wmic process where "name='svchost.exe' and ExecutablePath<>'C:\\WINDOWS\\system32\\svchost.exe'" call Terminate
    :: 停止非正常svchost进程,并删除其文件
    
    echo 删除c:\windows\syswow64\drivers\svchost.exe
    del c:\windows\syswow64\drivers\svchost.exe /a 
    del c:\windows\system32\drivers\svchost.exe /a 
    
    echo 删除c:\windows\temp\svchost.exe
    del c:\windows\temp\svchost.exe /a 
    
    echo 删除c:\windows\syswow64\wmiex.exe
    taskkill /IM wmiex.exe /F
    del c:\windows\syswow64\wmiex.exe /a 
    del c:\windows\system32\wmiex.exe /a 
    
    taskkill /IM taskmgr.exe /F
    echo 删除c:\windows\syswow64\drivers\taskmgr.exe
    del c:\windows\syswow64\drivers\taskmgr.exe /a
    del c:\windows\system32\drivers\taskmgr.exe /a
    
    echo 删除c:\windows\syswow64\svhost.exe
    del c:\windows\syswow64\svhost.exe /a  
    del c:\windows\system32\svhost.exe /a 
     
    del c:\windows\temp\m.ps1 /a
    
    echo 病毒文件删除完毕
    
    
    goto menu
    
    
    :2
    
    :: 删除计划任务
    echo 删除计划任务Drivers
    schtasks /Delete /TN Ddrivers /F 
    echo 删除计划任务WebServers
    schtasks /Delete /TN WebServers /F 
    echo 删除计划任务DnsScan
    schtasks /Delete /TN DnsScan /F 
    echo 删除计划任务\Microsoft\Windows\Bluetooths
    schtasks /Delete /TN "\Microsoft\Windows\Bluetooths" /F 
    echo 计划任务删除完毕
    
    
    ::删除病毒服务Ddriver和webservers
    echo 删除服务Driver
    sc delete Ddriver 
    echo 删除服务WebServers
    sc delete webservers 
    echo 病毒服务删除完毕
    
    goto menu
    
    :3
    
    ::删除注册表
    echo 删除注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver;
    reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Ddriver /f 
    echo 删除注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers
    reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v WebServers /f 
    echo 注册表删除完毕
    
    goto menu
    
    :4
    
    ::删除防火墙规则
    echo 删除入站规则名为denny445的规则
    netsh advfirewall firewall del rule name=denyy445
    echo 删除入站规则名为udp的规则
    netsh advfirewall firewall del rule name=udp 
    echo 删除入站规则名为udp2的规则
    netsh advfirewall firewall del rule name=udp2 
    echo 删除入站规则名为ShareService的规则
    netsh advfirewall firewall del rule name=ShareService 
    
    goto menu
    
    :5
    ::删除病毒设置的端口转发的设置
    echo 删除65531端口转发
    netsh interface portproxy delete v4tov4 listenport=65531 
    echo 删除65532端口转发
    netsh interface portproxy delete v4tov4 listenport=65532 
    
    goto menu
    

    注:中勒索病毒后445端口被deny掉,所以没有办法开默认共享

    展开全文
  • 华为CE6865交换机远程抓包

    千次阅读 2020-12-30 10:03:57
    另外一个局限就是所有网络设备都不本地,所以无法使用镜像技术进行抓包,最后决定使用交换机自带的抓包工具进行远程抓包,把抓包后的文件先保存在交换机上,然后用FTP传回到本地电脑,之后再用WireShark进行分析。...

    一、背景

      由于数据中心使用了VXLAN技术,导致在三层网络中查看不到原始的MAC数据帧。另外一个局限就是所有网络设备都不在本地,所以无法使用镜像技术进行抓包,最后决定使用交换机自带的抓包工具进行远程抓包,把抓包后的文件先保存在交换机上,然后用FTP传回到本地电脑,之后再用WireShark进行分析。

    二、在交换机上抓包

    具体抓包流程如下:

    2.1在视图模式下使用如下命令进行抓包:

    在这里插入图片描述

    capture-packet interface Eth-Trunk 1 destination file capture.cap packet-len 128
    //抓取Eth-Trunk 1接口下的流量。将抓取的流量保存在capture.cap文件中,此文件名可自定义。
    抓取的每个数据包的长度设定为128字节,CE6865默认为64。
    注意,有些低端交换机默认为10字节,这样可能导致抓取的数据包不完整,用Wireshark进行分析的时候出现问题。
    

    2.2将抓取的数据包用FTP工具传回本地

      交换机抓包后,一般情况下,会将抓包文件保存在flash:/logfile/目录下。

    2.2.1交换机常用文件命令

    pwd----显示当前所处的目录:
    在这里插入图片描述
    dir----显示当前目录中的文件及文件夹:
    在这里插入图片描述
    cd + 文件夹名称----进入某个文件夹
    在这里插入图片描述

    2.2.2FTP工具的使用及交换机上FTP相关命令的使用

      由于在交换机上搭建FTP服务端稍稍有点麻烦,所以换种思维方式,将本地电脑作为FTP服务器,交换机作为FTP客户端,交换机将capture.cap抓包文件上传到服务器。
      在Windows上搭建FTP服务器使用一个简单的FTP服务器软件即可。此软件我会上传到我的CSDN上供大家免费下载。软件界面如下:
    在这里插入图片描述
    在这里插入图片描述

    2.2.2.1在交换机上连接FTP服务器

      在交换机上连接FTP服务器的使用,需要指定源地址(能从本地远程的地址)进行连接,否则可能会出现连接不上的情况。
    在这里插入图片描述

    2.2.2.2将交换机上的抓取的数据包上传到本地电脑

      上传文件的时候,需要先确定文件的位置,然后再进行上传。

    ftp常用命令:
    put----将ftp客户端的文件上传到ftp服务器
    get----将ftp服务器中的文件下载到ftp客服端

      在此场景中,需要将交换机中的文件上传到ftp服务器,即远程的电脑上。使用命令的格式为:put + 绝对文件名
    在这里插入图片描述
    上述步骤操作完成之后,capture.cap文件便被上传到我们的本地电脑了。
    在这里插入图片描述
    此时便可以用Wireshark软件对抓取的数据包进行分析了。

    注意: 针对华为交换机,目前只支持捕获接口入方向报文,不支持捕获接口出方向报文。即只支持抓取单方向的报文。

    展开全文
  • tcpdump 与wiresharkWireshark(以前是ethereal)是Windows下非常简单易用...我们可以用Tcpdump + Wireshark 的完美组合实现: Linux 里抓包,然后Windows 里分析包。Wiresharkyuminstallwireshark简单用法tshark...
  • Wireshark抓包分析交换机工作原理

    千次阅读 2020-04-15 14:38:26
    【实验名称】 交换机工作原理 【实验目的】 1、熟悉Linux虚拟网络环境; 2、熟悉Linux中network namespace的...5、熟悉Linux中网络分析软件Wireshark的基本操作; 6、观察交换机(Bridge)的工作过程,分析并掌...
  • 网络技术学习过程中,初学者很可能对交换机、路由器的工作原理弄不清楚,老师常是让学生记住哪个划分冲突域,哪个可以划分广播域,本文通过wireshark实战抓包,从视觉直观感受网络设备的工作原理,使大家对这些...
  • 一、Wireshark简介 本节涵盖以下内容: 安置Wireshark(主机/程序...用Wireshark执行基本的抓包操作,配置起来并不麻烦,但是该软件也包含了很多高级配置选项,可用来应对某些特殊情况。这样的特殊情况包括令Wireshar
  • wireshark抓包工具

    2020-09-25 09:19:22
    wireshark抓包工具,windows已经验证过,可以抓包,你可以与被测的嵌入式单板以及设备一起接入到交换机上,进行报文的提取,如果你win7安装后没有本地接口的显示,你需要下载一个Winpcap(下载Winpcap网站:...
  • wireshark抓包分析,会抓包但是不会分析,那个高手我也是个初学者,我wireshark.结合我的经验,你可以根据二进制码和上面的英文分析相结合来看每个数据。你能从二进制里看到目的地址、源地址、采用的协议。抓到的...
  • 华为交换机镜像抓包Quidway S3900

    千次阅读 2019-01-24 10:06:01
    39系列交换机镜像抓包配置方法: 一、3900端口镜像配置 步骤一 :[Quidway]mirroring-group 1 local  说明:创建端口镜像组 步骤二:[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22 说明:创建...
  • Wireshark是一款非常流行好用的抓包软件 ,那么我们能否本地运行Wireshark来对远程主机进行抓包呢,Wireshark是为我们提供了这项服务的,只需要为远程主机安装好rpcapd服务即可。 对远程Linux主机进行抓包 01 ...
  • wireshark实战之局域网抓包分析

    千次阅读 2018-09-04 23:31:00
    第二交换机镜像端口,路由或者交换机处设置,复制一份数据到指定机子端口.第三Ap一个无线,让他们连接,然后再抓包.第一种方法不用考虑,第二种方法因为企业级路由才有镜像端口功能,我等屌丝用的TP-LINK无这个功能.所以...
  • 华为交换机在设备上抓包

    千次阅读 2020-07-21 16:21:52
    定义ACL规则,抓点对点的UDP包 sy acl 3001 rule 5 permit udp source 10.24.26.112 0 destination ...使用规则抓包,结果输出到终端 capture-packet interface GigabitEthernet 0/0/24 acl 3001 destination te
  • wireshark远程抓包

    2012-08-24 22:28:59
    远程服务器:192.168.168.220 客户机:192.168.168.100 现在需要客户机远程抓取服务器的数据。...本示例演示:通过remote端运行rpcapd服务,win7系统使用wireshark对linux系统进行抓包。 绝对物有所值。
  • 记得第一次接触抓包这玩意还是刚出来实习的时候呢,农村出来的娃孩子,吃苦耐劳方面还真不是虚的。一个月内就把当时最流行的午夜视频、激情**、****、**等各大地下单身贵族挚爱apk都抓了个遍,不是虚的现在需要的...
  • Wireshark抓包全集(85种协议、类别的抓包文件)
  • 实验名称:远程管理交换机 实验拓扑 实验步骤: (1)配置主机,路由器达到全网互通 (2)对交换机进行配置 (3)验证IP地址为192.168.2.2的主机对交换机的远程管理 总结:实验的关键就是首先实现网络的互通,...
  • 华为交换机抓包

    千次阅读 2019-09-22 03:01:57
    1.登录交换机,找一个合适的空闲端口,作为观察口(观察口的端口速率至少与镜像口持平)#observing-port 1 interface GigabitEthernet 0/0/6 (将G0/0/6作为观察口,编号为3) 全局下: 2.进入异常流量端口,将镜像...
  • Wireshark数据抓包教程之Wireshark捕获数据 Wireshark抓包方法 使用Wireshark捕获以太网数据,能够捕获分析到自己的数据包,也能够去捕获同一局域网内,知道对方IP地址的情况下,捕获到对方的数据包。 ...
  • wireshark抓包原理

    2021-08-04 17:08:37
    本机环境:直接抓包本机网卡进出流量 集线器环境:流量防洪,同一突破 交换机环境: a.端口镜像,通过交换器的其他接口流量COPY一份; b.ARP欺骗(arp特性后到优先,错误绑定地址); c.MAC泛洪,没有权限,不能...
  • WireShark抓包网络原理

    2019-10-14 18:53:04
    抓包原理: 本机安装wireshark后自动绑定一个网卡 抓取电脑网卡进出的流量 还可以通过集线器抓取整个局域网的流量 另一种是交换机环境 交换机环境分为端口镜像,ARP欺骗,MAC泛洪 交换机属于链路层,通信完全采用...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,341
精华内容 936
关键字:

wireshark在交换机上抓包