设为首页收藏本站

Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

    Panabit-SMB专版, 中小企业上网行为管理网关,正式发布!了解详情请点击这里。
搜索
热搜: 活动 交友 discuz
查看: 6303|回复: 4

Panabit镜像功能配合wireshark抓包的方法

[复制链接]
发表于 2014-9-5 15:09:41 | 显示全部楼层 |阅读模式
Panabit的协议识别都是基于数据包的特征,因此捕获数据包样本是我们进行识别第一步要做的事情。下面就和大家说一下如何捕获网络应用的数据包。

到百度搜索wireshark,很容易就能找到,把软件下载并安装好。
打开wireshark
wireshark.png

设置wireshark
点击Capture-->options
options.png
设置.png

1.选择网卡,wireshark将捕获这个网卡所有收发的数据包
2.设置过滤规则,比如我不像捕获arp类型的数据包就填上“not arp”,填入的内容符合语法这一栏会是绿色,否则是红色。例如如果我填的是“no arp”那么这栏会是红色,“no”不符合语法
3.star,开始抓包
抓包过程中常用到的按键
抓包.png

上图红色数字对应按钮的功能:
1,开始抓包
2,停止抓包
3,重新抓包
4,保存数据包
抓到我们想要的数据后就点停止抓包,然后保存。一般保存为pcap格式。

在抓某个网络应用的数据包方法也非常重要。首先,在抓包之前,要将电脑上的一些无关的网络应用全部关闭,从而保证wireshark抓到的数据都是我们想要抓的应用产生的;第二,要抓到应用完整的数据,要先打开wireshark开始抓包后,再打开我们要抓的网络应用程序。比如,我要抓优酷某个视频,我会先用一个TXT文件记录下这个视频的链接,然后打开wireshark开始抓包,再在IE里输入记录下的链接,这样抓到的包就是这个链接完整的数据了。而不是等到链接上的视频开始播放时再打开wireshark抓包。
抓windows下的应用我们,利用上面的方法就能轻松的抓到想要抓的数据包,但是如果我们要抓的并不是windows的应用呢,Wireshark不能安装在windows以外设备上,比如手机、平板电脑、电视机顶盒等等。
遇到这样的情况我们就需要将我们要抓的数据镜像出来,再用wireshark来抓包。下面就介绍用Panabit镜像功能抓包的方法
接线方式
新建位图图像.bmp

Panabit设置
PA-数据接口.png
策略.png

根据上面的图,我们把装有wireshark的客户机与em2直连,在Panabit里将手机(假设手机的IP是192.168.0.216)的数据镜像到em2接口,这样我们就能抓到手机程序的数据包了。
这个方法是抓取无法安装wireshark的设备数据包的通用方法。
Panabit还内置了一些命令,可以将Panabit内部的数据镜像出来

1 查找WAN新路的ID
使用floweye nat listproxy命令可以列出当前系统的所有WAN线路或LAN接口,其中第1列是线路的类型,第2列是线路的ID,第3列是线路的名称

2.镜像WAN线路的数据
floweye nat config dump_proxy=wan线路的ID号  dump_if=网卡名  
floweye nat config dump_proxy=4  dump_if=em2名这条命令的作用就是将ID号为4的wan线路数据镜像到em2上

3.镜像PPPOE拨号控制包
floweye pppoe config dump_proxy=4  dump_if=em2名这条命令的作用就是将ID号为4的PPPOE拨号线路数据镜像到em2上
这个命令和上面的nat config命令的区别是,pppoe config配置的只抓PPPOE拨号控制包,nat config配置的只抓非PPPOE拨号的包,所以两者之间可以互补,
因为偶尔会出现拨号不成功的情况,所以只抓PPPOE拨号控制包就比较重要,对于分析PPPOE拨号不成功,用pppoe config命令配置抓包比较合适。

4.镜像PPPOE服务器与radius通讯的数据
floweye radius config dump_if=emX
floweye radius stat可以看到dump_pktnum这个计数器,表示有多少包镜像出去了

发表于 2014-9-6 07:44:20 | 显示全部楼层
正在学习中……
发表于 2014-12-30 09:53:49 | 显示全部楼层
支持一个,谢谢分享!!!!!!
发表于 2016-7-1 12:40:31 | 显示全部楼层
floweye pppoe config dumpproxy=28  dumpif=em2
发表于 2017-3-8 10:08:23 | 显示全部楼层
厉害++++++++++++++1
您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|小黑屋|手机版|Archiver|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号  

GMT+8, 2017-9-22 18:00 , Processed in 0.250688 second(s), 21 queries .

Powered by Discuz! X3.1

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表