企业 手机网站,有哪些做家教网站,沈阳市铁西区建设局网站,甘肃再就业建设集团网站在 OSCP 考试和渗透测试中#xff0c;网络数据分析是至关重要的技能。无论是嗅探明文密码、分析恶意流量#xff0c;还是溯源攻击#xff0c;抓包工具都是我们的得力助手。
本文将介绍 OSI 七层网络模型 及其在网络分析中的作用#xff0c;并详细讲解 Wireshark 和 tcpdum…在 OSCP 考试和渗透测试中网络数据分析是至关重要的技能。无论是嗅探明文密码、分析恶意流量还是溯源攻击抓包工具都是我们的得力助手。
本文将介绍 OSI 七层网络模型 及其在网络分析中的作用并详细讲解 Wireshark 和 tcpdump 这两款常见的抓包工具帮助你在渗透测试中高效分析流量数据。 一、OSI 七层模型 All People Seem To Need Data Processing! OSIOpen Systems Interconnection七层模型是计算机网络的标准框架每一层都承担不同的功能。在分析网络流量时理解这个模型可以帮助我们更快地定位问题、识别漏洞。
层级功能示例协议/技术作用应用层Application处理应用程序请求HTTP、SMTP、FTP、DNS处理用户数据表示层Presentation数据格式转换WMV、JPEG、TLS/SSL数据加密、解码会话层Session管理会话连接NetBIOS、RPC维持主机间通信传输层Transport可靠/无连接传输TCP、UDP传输数据流网络层NetworkIP 地址、路由IPv4、IPv6、ICMP逻辑寻址、路由转发数据链路层Data LinkMAC 地址、交换以太网、PPP、ARP处理物理地址物理层Physical传输比特流光纤、网线、Wi-Fi传输电信号、无线信号 分析网络流量时关注重点
应用层Application寻找 HTTP 请求、DNS 查询、SMTP 邮件通信。传输层Transport分析 TCP 端口扫描、UDP 数据包。网络层Network查看 IP 地址识别攻击来源。数据链路层Data Link过滤 MAC 地址溯源攻击设备。 二、Wireshark图形化抓包分析工具
Wireshark 是一款强大的 GUI图形界面网络协议分析工具支持实时抓包和回溯分析。它可以解析几乎所有常见的协议并且能够直观地展示网络流量数据。 1. 追踪 TCP/UDP 流量
在分析网络流量时我们通常需要关注特定的 TCP/UDP 连接。Wireshark 提供了“Follow Stream”功能可以直观地查看完整的会话数据。 步骤
在 Wireshark 里打开 .pcap 抓包文件或者直接在网络接口上实时抓包。右键点击感兴趣的数据包选择 “Follow TCP Stream” 或 “Follow UDP Stream”。这样就能看到完整的 TCP/UDP 会话数据比如明文 HTTP 请求、Telnet/FTP 传输的密码等。 2. Wireshark 数据包结构解析
在 Wireshark 里每个网络数据包都可以分为多个协议层级每一层都承载着不同的信息。 数据包结构分解从底层到高层
1Frame - 物理层
物理层数据包括帧编号和接收的数据大小字节数。主要用于分析数据包的完整性和丢失情况。
2Ethernet II - 数据链路层
这里可以看到 MAC 地址信息 源 MAC 地址Source MAC目的 MAC 地址Destination MAC 还可以查看传输介质类型如以太网Ethernet。
3IPv4 / IPv6 - 网络层
主要关注IP 地址 源 IPSource IP谁发出的数据目标 IPDestination IP数据发往哪里 这层数据对溯源攻击、找出目标服务器的真实 IP 很有用。
4TCP/UDP - 传输层
关注端口号和会话状态 源端口 目标端口PortTCP 三次握手SYN/ACKUDP 无连接特性
5应用层HTTP / DNS / FTP / SSH 等
这里是应用层协议的数据比如 HTTP可以看到 GET /index.html 这样的请求甚至可能获取到明文密码。DNS可以解析域名查询请求找出目标主机访问过的地址。FTP/Telnet这些老协议的用户名密码可能是明文传输的SMTP/POP3/IMAP邮件传输协议可能泄露敏感的邮件内容。 实战技巧
过滤 HTTP 请求http.request.method GET过滤 DNS 查询dns.qry.name contains target.com查找 FTP/Telnet 明文密码ftp || telnet三、tcpdump终端抓包分析工具
tcpdump 是一个轻量级的命令行工具适用于服务器环境如 SSH 远程服务器进行实时抓包和流量分析。 1. 读取 .pcap 文件
如果你已经有了 .pcap 抓包文件可以用 tcpdump 查看数据包
tcpdump -r password_cracking_filtered.pcap2. 统计流量中的源 IP
想知道抓包文件里有哪些源 IP可以用 awk 统计并排序
tcpdump -n -r password_cracking_filtered.pcap | awk -F {print $3 } | sort | uniq -c | head这条命令会
解析 .pcap 文件里的数据包提取第 3 列通常是源 IP 地址统计出现次数并排序显示最常见的前 10 个 IP 地址 实战应用用于找出攻击来源、识别哪些 IP 发起了最多的连接请求。 3. 过滤特定 IP 的数据包
如果只想查看某个 IP 发送的流量可以用 src host 过滤
tcpdump -n src host 172.16.40.10 -r password_cracking_filtered.pcap如果想看目标是这个 IP 的数据包用 dst host 过滤
tcpdump -n dst host 172.16.40.10 -r password_cracking_filtered.pcap实战应用用于分析某台目标机的通信看看它都在和哪些 IP 交互。 4. 过滤特定端口的流量
有时候我们只想查看某个端口如 Web 服务器 port 80/81的数据包可以这样做
tcpdump -n port 81 -r password_cracking_filtered.pcap实战应用可以用来分析 Web 服务器的 HTTP 流量看看有没有可利用的漏洞比如 SQL 注入、未授权访问等。 5. 查看完整数据包内容
如果想看到数据包的完整 HEX 和 ASCII 内容可以加 -X 参数
tcpdump -nX -r password_cracking_filtered.pcap实战应用
查找明文密码如 FTP/Telnet 登录数据分析恶意代码如嵌入在 HTTP 请求中的恶意 JS检查隐藏的数据传输如 DNS 隧道、加密通信 四、Wireshark vs tcpdump
功能Wireshark tcpdump ️是否有 GUI✅ 是❌ 否命令行实时抓包✅ 是✅ 是离线分析 .pcap✅ 是✅ 是协议解析✅ 可视化解析✅ 只能手动解析适合环境桌面端、GUI 分析服务器、终端 SSH 总结建议
Wireshark 适合 GUI 分析查看 .pcap 文件时更直观。tcpdump 适合服务器环境在远程主机上抓包更高效。
掌握这两款工具可以让你的渗透测试能力更上一层楼
