Panabit-Luo 发表于 2014-9-5 15:09:41

Panabit镜像功能配合wireshark抓包的方法

Panabit的协议识别都是基于数据包的特征,因此捕获数据包样本是我们进行识别第一步要做的事情。下面就和大家说一下如何捕获网络应用的数据包。

到百度搜索wireshark,很容易就能找到,把软件下载并安装好。
打开wireshark


设置wireshark
点击Capture-->options



1.选择网卡,wireshark将捕获这个网卡所有收发的数据包
2.设置过滤规则,比如我不像捕获arp类型的数据包就填上“not arp”,填入的内容符合语法这一栏会是绿色,否则是红色。例如如果我填的是“no arp”那么这栏会是红色,“no”不符合语法
3.star,开始抓包
抓包过程中常用到的按键


上图红色数字对应按钮的功能:
1,开始抓包
2,停止抓包
3,重新抓包
4,保存数据包
抓到我们想要的数据后就点停止抓包,然后保存。一般保存为pcap格式。

在抓某个网络应用的数据包方法也非常重要。首先,在抓包之前,要将电脑上的一些无关的网络应用全部关闭,从而保证wireshark抓到的数据都是我们想要抓的应用产生的;第二,要抓到应用完整的数据,要先打开wireshark开始抓包后,再打开我们要抓的网络应用程序。比如,我要抓优酷某个视频,我会先用一个TXT文件记录下这个视频的链接,然后打开wireshark开始抓包,再在IE里输入记录下的链接,这样抓到的包就是这个链接完整的数据了。而不是等到链接上的视频开始播放时再打开wireshark抓包。
抓windows下的应用我们,利用上面的方法就能轻松的抓到想要抓的数据包,但是如果我们要抓的并不是windows的应用呢,Wireshark不能安装在windows以外设备上,比如手机、平板电脑、电视机顶盒等等。
遇到这样的情况我们就需要将我们要抓的数据镜像出来,再用wireshark来抓包。下面就介绍用Panabit镜像功能抓包的方法
接线方式


Panabit设置



根据上面的图,我们把装有wireshark的客户机与em2直连,在Panabit里将手机(假设手机的IP是192.168.0.216)的数据镜像到em2接口,这样我们就能抓到手机程序的数据包了。
这个方法是抓取无法安装wireshark的设备数据包的通用方法。
Panabit还内置了一些命令,可以将Panabit内部的数据镜像出来

1 查找WAN新路的ID
使用floweye nat listproxy命令可以列出当前系统的所有WAN线路或LAN接口,其中第1列是线路的类型,第2列是线路的ID,第3列是线路的名称

2.镜像WAN线路的数据
floweye nat config dump_proxy=wan线路的ID号dump_if=网卡名
floweye nat config dump_proxy=4dump_if=em2名这条命令的作用就是将ID号为4的wan线路数据镜像到em2上

3.镜像PPPOE拨号控制包
floweye pppoe config dump_proxy=4dump_if=em2名这条命令的作用就是将ID号为4的PPPOE拨号线路数据镜像到em2上
这个命令和上面的nat config命令的区别是,pppoe config配置的只抓PPPOE拨号控制包,nat config配置的只抓非PPPOE拨号的包,所以两者之间可以互补,
因为偶尔会出现拨号不成功的情况,所以只抓PPPOE拨号控制包就比较重要,对于分析PPPOE拨号不成功,用pppoe config命令配置抓包比较合适。

4.镜像PPPOE服务器与radius通讯的数据
floweye radius config dump_if=emX
floweye radius stat可以看到dump_pktnum这个计数器,表示有多少包镜像出去了

jyb_001 发表于 2014-9-6 07:44:20

正在学习中……

谷德白银 发表于 2014-12-30 09:53:49

支持一个,谢谢分享!!!!!!

sihanlin 发表于 2016-7-1 12:40:31

floweye pppoe config dumpproxy=28dumpif=em2

chd12345 发表于 2017-3-8 10:08:23

厉害++++++++++++++1
页: [1]
查看完整版本: Panabit镜像功能配合wireshark抓包的方法