一文包你學(xué)會網(wǎng)絡(luò)數(shù)據(jù)抓包

新用戶16501297 2021-04-25

展開全文

本篇彭老師將圖文并茂教你如何使用抓包工具，并在文章最后教大家如何偷取FTP的用戶名密碼。

一、安裝

本文為大家介紹一個非常好用的抓包工具，科來。

下載地址：

http://www./

下載科萊

下載完畢，雙擊直接下一步即可安裝。

二、界面介紹

雙擊桌面圖標(biāo)：

科來

啟動界面如下：

啟動界面

選擇實時分析，進入選擇網(wǎng)卡界面：

選擇網(wǎng)卡

彭老師的電腦是通過無線網(wǎng)卡連接路由器，所以選擇無線網(wǎng)絡(luò)連接2。【如果是有線網(wǎng)卡，選擇本地連接】

點擊開始，即可實現(xiàn)抓包：

抓包界面

科來功能十分強大，我們僅介紹常用的一些功能：

選擇網(wǎng)卡
開始抓包
停止抓包
設(shè)置過濾器
顯示IP會話信息
顯示TCP會話信息
顯示UDP會話信息

每一個按鈕詳細(xì)解釋啊如下：

設(shè)置網(wǎng)絡(luò)接口界面

選擇網(wǎng)卡

設(shè)置過濾器參考第三章
顯示IP會話信息科來最大的優(yōu)點就是把所有的數(shù)據(jù)根據(jù)源和目的進行了歸類，這樣方便我們根據(jù)查找和某個服務(wù)器的的進程交互的所有的數(shù)據(jù)包。

IP會話

顯示TCP會話信息

點擊TCP會話

點擊上方的數(shù)據(jù)包分類的窗口，科來幫助我們把tcp數(shù)據(jù)包交互的所有的時序也幫助我們排好了！

彩！

tcp分類

可以清晰的看到TCP通信從3次握手、到數(shù)據(jù)發(fā)送、ack回復(fù)，4次握手。

查看數(shù)據(jù)包內(nèi)容：

如上圖所示，我們選中三次握手的syn包，右側(cè)上方為科來幫我們解析過的數(shù)據(jù)包頭信息，右側(cè)下方為實際數(shù)據(jù)包的16進制信息。

顯示UDP會話信息

點擊編號是19的數(shù)據(jù)包：

三、如何過濾數(shù)據(jù)包

過濾器設(shè)置窗口如下：

我們可以根據(jù)需要選擇我們要抓取的數(shù)據(jù)包，比如我們只想抓取ICMP(ping包)的數(shù)據(jù)包，只需要選中即可：

過濾ICMP

這樣我們再次點擊開始，就只會抓取ICMP的數(shù)據(jù)包了。

1. 過濾端口

點擊右側(cè)的添加按鈕，進入過濾條件設(shè)置頁面：

過濾條件設(shè)置

然后選中該協(xié)議：

在瀏覽器中輸入以下地址：

http://sohu.com:8888/
該網(wǎng)址是訪問sohu.com對應(yīng)的服務(wù)器的8888端口，rfc1738有關(guān)于域名信息的詳細(xì)解釋。

點擊開始，即可抓取到該端口的所有數(shù)據(jù)包，而非8888端口的數(shù)據(jù)包就會過濾掉。

port 8888

2. 過濾ip地址

我們首先獲取baidu服務(wù)器的ip地址：

ping baidu

可得到百度服務(wù)器地址 39.156.69.79

如果我們只想抓取和百度服務(wù)器通信的所有數(shù)據(jù)包，設(shè)置如下：

其中：|| 是邏輯或的意思，該表達(dá)式表示所有目的ip或者源ip是39.156.69.79的數(shù)據(jù)包。

選中該過濾條件：

點開開始，開啟抓包：

然后，ping 39.156.69.79

即可抓取到對應(yīng)的ping包

注意，要在IP會話中查看。

點擊數(shù)據(jù)包：

icmp

3. 其他

過濾器的表達(dá)式還有很多種，比如：

不抓取端口號為8888數(shù)據(jù)包,表達(dá)式為:

port != 8888

不抓取ip地址為39.156.69.79 的數(shù)據(jù)包,表達(dá)式為:

dstip != 39.156.69.79 && srcip != 39.156.69.79

讀者可以根據(jù)自己的需要來組合搭配對應(yīng)的過濾條件來高效的抓取自己需要的數(shù)據(jù)包。

四、其他功能

1. 選擇工具->IP地址歸屬地查詢

可以顯示制定IP地址所在地。

IP地址歸屬地查詢

2. 選擇工具->Ping Tool

可以實現(xiàn)對某個IP地址的ping。

Ping Tool

3. 選擇工具->MAC地址掃描器

使用該工具可以掃描該局域網(wǎng)內(nèi)所有的IP地址和MAC地址。

MAC地址掃描器

4. 選擇工具->數(shù)據(jù)包生成器

使用該工具可以輔助我們填寫制定類型的數(shù)據(jù)包，并制定對應(yīng)的網(wǎng)卡發(fā)送該數(shù)據(jù)包，在我們測試通信協(xié)議健壯性時，該工具非常實用。

數(shù)據(jù)包生成器

五、偷取ftp登錄的用戶名、密碼

下面手把手教大家如何偷取FTP登錄的用戶名、密碼。ftp協(xié)議詳細(xì)流程在此不展開討論，讀者可以自行搜索，網(wǎng)上資料很多。

FTP

1. 環(huán)境

本次測試環(huán)境在本地測試。ftp服務(wù)器運行在pc上，ip地址是192.168.0.104，端口號用默認(rèn)的21、22 ftp客戶端運行在虛擬機中的ubuntu，IP地址設(shè)置為192.168.0.111

1）虛擬機設(shè)置

一口君pc連接的無線路由器，虛擬機設(shè)置的是橋接模式，所以 編輯->虛擬網(wǎng)絡(luò)編輯器，做如下選擇，選擇已橋接至無線網(wǎng)卡?！救绻蔷W(wǎng)線連接路由器，則選擇有線網(wǎng)卡】

橋接模式

2）設(shè)置虛擬網(wǎng)卡地址

ifconfig ens33 192.168.0.111

虛擬機地址

3）設(shè)置FTP服務(wù)器

ftp服務(wù)器運行在pc上，用戶名：yikoulinux密碼：yikoulinux共享目錄：e:/一口Linux

FTP server

ftp server的下載安裝，本文不再介紹。

2. 抓取數(shù)據(jù)包

1）選擇無線網(wǎng)卡

因為是橋接模式，所以仍然選擇無線網(wǎng)卡，其他環(huán)境的話，如果讀者不熟悉，可以把所有網(wǎng)卡都選中。

選中網(wǎng)卡

2）設(shè)置過濾器

設(shè)置FTP協(xié)議，我們只需要抓取FTP協(xié)議的數(shù)據(jù)包，規(guī)則如下：

port = 21 || port = 22

過濾規(guī)則

選中該規(guī)則

注意，不要和上一章例子沖突了。

在這里插入圖片描述

點擊開始抓取數(shù)據(jù)包。

3) 訪問ftp server

ubuntu中登錄ftp，并輸入用戶名、密碼。

ftp 192.168.0.104
鍵入用戶名 yikoulinux
鍵入密碼 yikoulinux
顯示根服務(wù)器目錄 ls
退出 quit

4）FTP協(xié)議交互流程

FTP協(xié)議的交互流程如下圖所示：

FTP 數(shù)據(jù)交互流程

1. 建立連接階段

該階段是 FTP 客戶端通過 TCP 三次握手與FTP服務(wù)器端進行建立連接。

客戶端向 FTP 服務(wù)器發(fā)出建立連接請求，F(xiàn)TP 服務(wù)器對請求進行應(yīng)答。如果 FTP 服務(wù)器上的 21 端口是啟用的，可以接受來自其他主機的請求，給出應(yīng)答 220，表示服務(wù)就緒，即告訴客戶端需要的 FTP 服務(wù)已經(jīng)準(zhǔn)備好了。

返回應(yīng)答以后，F(xiàn)TP 服務(wù)器需要客戶端進行身份認(rèn)證，向客戶端發(fā)送身份認(rèn)證請求。

2. 身份認(rèn)證階段

身份認(rèn)證是指客戶端需要向FTP服務(wù)提供登錄所需的用戶名和密碼。FTP 服務(wù)器對客戶端輸入的用戶名和密碼都會給出相應(yīng)的應(yīng)答。如果客戶端輸入的用戶名和密碼正確，將成功登錄FTP服務(wù)器，此時進入 FTP 會話。

3. 命令交互階段

在 FTP 會話中，用戶可以執(zhí)行 FTP 命令進行文件傳輸，如查看目錄信息、上傳或下載文件等?？蛻舳溯斎胍獔?zhí)行的 FTP 命令后，服務(wù)器同樣會給出應(yīng)答。如果輸入的執(zhí)命令正確，服務(wù)器會將命令的執(zhí)行結(jié)果返回給客戶端。執(zhí)行結(jié)果返回完成后，服務(wù)器繼續(xù)給出應(yīng)答。