本系列教程,採用的大綱母本為《Understanding Network Hacks Attack and Defense with Python》一書,為了解決很多同學對英文書的恐懼,解決看書之後實戰過程中遇到的問題而作。由於原書很多地方過於簡略,筆者根據實際測試情況和最新的技術發展對內容做了大量的變更,當然最重要的是個人偏好。教程同時提供圖文和視訊教程兩種方式,供不同喜好的同學選擇。
1.5.0.2 本節前言
在上一節,筆者羅列的學習網路程式設計應該瞭解或掌握的網路基礎知識,這其中直接和程式設計相關的是網路協議。抓包分析,一直都是學習網路協議過程中,理論聯絡實踐的最好方式,而目前最常用的抓包工具就是Wireshark。
隨著我們教程的深入,我們也會使用Wireshark來準備測試用的資料包,校驗程式的準確性,編寫程式之前做人工分析以提供準確的解決問題思路或演算法。
Wireshark的詳細使用和高階功能,建議有精力的同學去閱讀《Wireshark網路分析實戰》一書,本節內容以基礎和暫時夠用為原則。
1.5.1 WIRESHARK 簡介
Wireshark 是當今世界上被應用最廣泛的網路協議分析工具。使用者通常使用Wireshark來學習網路協議,分析網路問題,檢測攻擊和木馬等。
Wireshark官網為www.wireshark.org/。
圖1 Wireshark官網
進入下載頁面,我們可以看到Wireshark提供windows和Mac OS X的安裝檔案,同時提供了原始碼供在Linux環境中進行安裝。
圖2
下載和安裝,這裡就不詳細說明了,安裝程式還是原始碼安裝1.2、1.4節課程中,有詳細的演示,各位同學依樣畫葫蘆即可。
在Kali Linux中,已經預裝了Wireshark,只需要在終端輸入Wireshark,即可啟動程式。
root@kali:~# wireshark複製程式碼啟動之後,由於Kali預設是root賬號,會引發Lua載入錯誤,直接忽略即可。
圖3
1.5.2 抓包
啟動Wireshark後,在主介面會列出當前系統中所有的網路卡資訊。
圖4
在此處選擇要監聽的網路卡,雙擊就會進入監聽模式。還有另一個入口就是上方的配置按鈕。
圖5
開啟配置介面,可以對網路卡和資料包捕獲做一些配置。
圖6
選中網路卡,點選開始。
圖7
抓包的過程中,我們可以看到資料的變化。點選停止按鈕,停止捕獲資料包。
圖8
在軟體的核心介面就是資料包列表,顯示的列有序號、時間、源IP、目標IP、協議、長度、基本資訊。Wireshark使用不同的顏色對不同的協議做了區分。在檢視選單,我們可以找到和著色相關的命令。
圖9
在圖9所示的命令中,對話著色用來選擇指定顏色對應的協議,著色分組列表用來隱藏非選中著色分組中的資料包,著色規則用來定義著色外觀和包含的協議,如圖10所示。
圖10
1.5.3 包過濾
捕獲的資料包通常都是比較龐大的,如果沒有過濾篩選機制,對任何人來說,都將是一個災難。Wireshark提供了兩種過濾器:捕捉過濾器和顯示過濾器。
1.5.3.1 捕獲過濾器
捕捉過濾器是用來配置應該捕獲什麼樣的資料包,在啟動資料包捕捉之前就應該配置好。開啟主介面“捕獲”——>“捕獲過濾器”。
圖11
在捕獲過濾器介面,我們可以看到已有的過濾器,可以修改刪除它們,同時我們可以增加自己的過濾器。
圖12
捕獲過濾器語法:
圖13
Protocol(協議):
可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
如果沒有特別指明是什麼協議,則預設使用所有支援的協議。
openmaniak.com/image/droit… Direction(方向):
可能的值: src, dst, src and dst, src or dst
如果沒有特別指明來源或目的地,則預設使用 "src or dst" 作為關鍵字。
openmaniak.com/image/droit… Host(s):
可能的值: net, port, host, portrange.
如果沒有指定此值,則預設使用"host"關鍵字。
openmaniak.com/image/droit… Logical Operations(邏輯運算):
可能的值:not, and, or.
否("not")具有最高的優先順序。或("or")和與("and")具有相同的優先順序,運算時從左至右進行。
下面我們具體看幾個示例:
tcp dst port 3128複製程式碼顯示目的TCP埠為3128的封包。
ip src host 10.1.1.1複製程式碼顯示來源IP地址為10.1.1.1的封包。
host 10.1.2.3複製程式碼顯示目的或來源IP地址為10.1.2.3的封包。
src portrange 2000-2500複製程式碼顯示來源為UDP或TCP,並且埠號在2000至2500範圍內的封包。
not imcp複製程式碼顯示除了icmp以外的所有封包。(icmp通常被ping工具使用)
src host 10.7.2.12 and not dst net 10.200.0.0/16複製程式碼顯示來源IP地址為10.7.2.12,但目的地不是10.200.0.0/16的封包。
(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8複製程式碼當使用關鍵字作為值時,需使用反斜槓“\”。"ether proto \ip" (與關鍵字"ip"相同)。這樣寫將會以IP協議作為目標。"ip proto \icmp" (與關鍵字"icmp"相同).這樣寫將會以ping工具常用的icmp作為目標。可以在"ip"或"ether"後面使用"multicast"及"broadcast"關鍵字。當您想排除廣播請求時,"no broadcast"就會非常有用。
如何使用定義好的捕獲過濾器呢?點選下圖所示的展開過濾器按鈕。
在過濾器列表中選擇一個過濾器。
再雙擊啟動抓包,就會看到效果了。
1.5.3.2 顯示過濾器
顯示過濾器用來過濾已經捕獲的資料包。在資料包列表的上方,有一個顯示過濾器輸入框,可以直接輸入過濾表示式,點選輸入框右側的表示式按鈕,可以開啟表示式編輯器,左側框內是可供選擇的欄位。
圖14
顯示過濾器的語法如圖15所示。
圖15
下面我們對各個欄位做介紹:
1) Protocol,協議欄位。支援的協議可以從圖14的編輯器中看到,從OSI 7層模型的2到7層都支援。
2) String1, String2 (可選項)。協議的子類,展開圖14中的協議的三角,可以看到。
圖16
3) Comparison operators,比較運算子。可以使用6種比較運算子如圖17所示,邏輯運算子如圖18所示。
圖17 比較運算子
圖18 邏輯運算子
被程式設計師們熟知的邏輯異或是一種排除性的或。當其被用在過濾器的兩個條件之間時,只有當且僅當其中的一個條件滿足時,這樣的結果才會被顯示在螢幕上。
讓我們舉個例子:
"tcp.dstport 80 xor tcp.dstport 1025"複製程式碼只有當目的TCP埠為80或者來源於埠1025(但又不能同時滿足這兩點)時,這樣的封包才會被顯示。
下面再通過一些例項來加深瞭解。
snmp || dns || icmp複製程式碼顯示SNMP或DNS或ICMP封包。
ip.addr == 10.1.1.1複製程式碼顯示來源或目的IP地址為10.1.1.1的封包。
ip.src != 10.1.2.3 or ip.dst != 10.4.5.6複製程式碼顯示來源不為10.1.2.3或者目的不為10.4.5.6的封包。
ip.src != 10.1.2.3 and ip.dst != 10.4.5.6複製程式碼顯示來源不為10.1.2.3並且目的IP不為10.4.5.6的封包。
tcp.port == 25複製程式碼顯示來源或目的TCP埠號為25的封包。
tcp.dstport == 25複製程式碼顯示目的TCP埠號為25的封包。
tcp.flags複製程式碼顯示包含TCP標誌的封包。
tcp.flags.syn == 0x02複製程式碼顯示包含TCP SYN標誌的封包。
在使用過濾器表示式編輯器的時候,如果過濾器的語法是正確的,表示式的背景呈綠色。如果呈紅色,說明表示式有誤。
生成表示式,點選Ok按鈕,回到資料包列表介面。
圖19
此時表示式會輸入到表示式欄中。
圖20
回車之後,就會看到過濾效果。
此外我們也可以通過選中資料包來生成過濾器,右鍵——>作為過慮器應用。
圖21
如圖21所示,不同的選項,大家都可以嘗試下,都是基本邏輯謂詞的組合。比如我選擇“或選中”,可以組合多個資料包的條件,如圖22所示。
圖22
圖22中,選擇了兩個資料包,協議不同,自動生成的過濾表示式會按照你滑鼠點選的位置所在的列字典作為條件來生成。圖中我兩次的位置都在Destination列上,所以生成的表示式是一樣的。
1.5.4 資料分析
選中某一條資料項,會在如圖23所示的兩個區域,顯示該資料包的詳細資訊。
圖23
在圖23中,1區為詳細資訊顯示區域,這個區域內對資料包按照協議欄位做了較為詳細的分析。2區為16進位制資料區。結合1區和2區,再結合書本上的知識,我們就可以進行協議分析的研究和學習了。圖23中,顯示的詳細資訊分別為:
1) Frame: 物理層的資料幀概況
2) Ethernet II: 資料鏈路層乙太網幀頭部資訊
3) Internet Protocol Version 4: 網際網路層IP包頭部資訊
4) Transmission Control Protocol: 傳輸層T的資料段頭部資訊,此處是TCP
5) Hypertext Transfer Protocol: 應用層的資訊,此處是HTTP協議
當我們點選1區的欄位的時候,可以看到在2區對應的資料項,如圖24。
圖24
是時候把教科書搬出來了,在圖25中,看到OSI七層模型和Wireshark資料包分析的對應情況。
圖25(來源於網路)
再拿TCP資料包來舉例,如圖26。
圖26(來源於網路)
用這樣的方法來學習網路協議,是不是既簡單又直觀呢?還等什麼,開始動手吧。
1.5.5 例項:分析TCP三次握手過程
(以下內容,部分來自www.cnblogs.com/TankXiao/ar…
圖27(來源於網路)
圖27就是經典的TCP三次握手,看它千百遍也不許厭煩,這是我大學時的必考題。
下面我們具體分析下實際三次握手的過程,開啟Wireshark啟動抓包,然後在瀏覽器開啟我的部落格www.cnblogs.com/xuanhun。
停止抓包後輸入過濾表示式
ip.src == 192.168.1.38複製程式碼過濾出連線到www.cnblogs.com的所有資料包。
圖28
選中一個,右鍵然後點選"追蹤流"——>TCP流。
圖29
點選TCP流之後,會根據tcp.stream欄位生成過濾表示式,我們可以看到這次HTTP請求基於的TCP三次握手的資料包,如圖30所示。
圖30
下面我們依次分析下序號為69、79、80的三個資料包。
圖31
69號資料的TCP資料欄位如圖31所示,我們可以看到序列號為0,標誌位為SYN。
圖32
79號資料包的TCP欄位如圖32所示,序列號為0,Ack 序號加1為1,標誌位為(SYN,ACK)。
圖33
80號資料包TCP欄位如圖32所示,客戶端再次傳送確認包(ACK) SYN標誌位為0,ACK標誌位為1.並且把伺服器發來ACK的序號欄位+1,放在確定欄位中傳送給對方。
這樣就完成了TCP的三次握手。
1.5.6 小結
網路分析是網路程式設計的前置基本技能,本節課對網路協議分析工具Wireshark做了一個快速入門,希望同學們多多練習,增強這方面的能力。
Wireshark在資料包捕獲和分析方面具有超強的能力,但是它不能修改和傳送資料包,在Python裡很容易實現資料包的修改和傳送。從下一節開始,我們正式進入第二章——Python程式設計基礎。
1.5.7 本節對應視訊教程獲取方法
在微信訂閱號(xuanhun521)依次開啟“網路安全”—>”Python黑客程式設計”,找到對應的本篇文章的1.5.7節,有具體獲取視訊教程的方法。
由於教程仍在創作過程中,在整套教程完結前,感興趣的同學請關注我的微信訂閱號(xuanhun521,下方二維碼),我會第一時間在訂閱號推送圖文教程和視訊教程。問題討論請加qq群:Hacking (1群):303242737 Hacking (2群):147098303。
關注之後,回覆請回復“Python”,獲取更多內容。