Linux libpcap
Windows winpcap
更强的winpcap ———— Npcap
WinPcap威力加强版:这个国产开源工具获得了Google赞助
http://www.freebuf.com/sectool/104701.html
课时一
基本操作
启动
选择抓包网卡
混杂模式
实时抓包
保存和分析捕获文件
首选项
两种filter
capture filter
display filter
display filter基本用法
|
|
课时二
常见协议类型
ARP
ICMP
TCP
UDP
DNS
HTTP
FTP
- 右键-decode as 强制解包
- 数据流分析 follow TCP stream
课时三
信息统计
statistics:
Summary
Endpoints
Protocol Hierarchy
Conversations
Expert 专家系统
Wireshark 主要根据端口判断协议,可能判断错误。可用Decode as强制解码。
案例 nc ncat 加密/无加密 流量抓包
nc(无加密)
ncat(加密)
dhclient eth0
网卡0重新dhcp获取地址
nc -lp 333 -c bash
侦听333端口,如果有TCP连接则提供bash
nc -nv 10.1.1.33 333
连接10.1.1.33 333
ncat -lp 333 -c bash –ssl
ncat -nv 10.1.1.33 333 –ssl
企业抓包部署方案
wireshark 缺点: 大流量性能不足
Sniffer
Cace/riverbed/ cascade pilot
被动式全流量抓包 自动化风险分析>>>>机器学习模型
Nessus
其他工具 tcpdump
