几种常见网络抓包方式介绍

几种常见网络抓包方式介绍

  • 一、网络分流器(TAP)
  • 二、有网管功能的小交换机
  • 三、用两块网卡的Linux方案
  • 四、总结

无论作为网络运维人员,还是安全渗透工程师,在工作中都会无可避免地碰到网络抓包的需求。

对网络运维人员,网络抓包可以:

  • 定位网络里的异常设备;
  • 排查网络性能瓶颈;
  • 了解真实的网络互联状态。

对安全渗透工程师,网络抓包可以:

  • 有助于逆向分析联网型App;
  • 从真实流量中发现可利用的漏洞;
  • 定位可能的网络后门和木马。

以上这些目标,往往无法仅靠在本机上抓包完成,必须在网络层有更方便的抓包解决方案。在古早还使用集线器(Hub)时,由于Hub设备不够“智能”,它会把所有的流量转发给所有的端口(除了发出端口之外),所以只要把监听机器的网卡设置为混杂模式(promiscuous mode),即可收到接在同一个Hub上其他机器的流量。但这种方式随着Hub退出市场,也慢慢不再适用了。

以下介绍几种在实验室环境和中小型网络里的网络抓包方式。它们不是企业级专业级的解决方案,而更适用于个人网络逆向分析和问题定位。

一、网络分流器(TAP)

网络分流器大多都是无源型(passive)设备,所以不需要装任何软件,不需要有什么额外知识,就能抓到流经网线的流量。一款非常小巧便携的适合个人使用的网络分析器如图:

几种常见网络抓包方式介绍_第1张图片

上图东西的全名叫“Throwing Star LAN TAP”,用上述关键字在淘宝可以找到,盛惠50大元。通过和参照物的对比,可以看出它非常小巧,而且无需电源供电,只是在接入网络时会引起短暂的网络中断,基本对网络没有影响。

它共有4个RJ45口,形成一个飞镖状(飞镖的英文就是“Throwing Star”)的十字结构。使用时把J1-J2串入需要做抓包的网络中,J3和J4连接抓包机器。也就说J3和J4两个口,是分别捕获流入和流出两个方向的流量,再分别复制给监听系统的两个网络端口的。所以要想同时捕获监控链路里的所有流量,监控工作台电脑必须有两块用于嗅探的网卡。这个也并不难实现,除了默认的有线网卡之外,只要再接一个USB接口的有线网卡即可。以下为TAP接入网络的场景:

几种常见网络抓包方式介绍_第2张图片

TAP可以直接串在要抓包的设备前面,也可以接到某台交换设备前面。如果接在交换设备前,得到的流量可能很大,在设置抓包参数时需要做适当的过滤。如上图示意图,我们使用的抓包机器为 Linux系统,上有两块有线网卡,分别连接J3和J4接口。要注意的是,抓包机器这样接入TAP后,自身是无法上网的!

在抓包机器上,执行 tshark-D 命令,获得系统里当前可以抓包的所有接口列表。需要对哪个接口抓包,可以用 -i 参数指定。如下图的网卡列表中,排名第一的 “1.enp0s25” 即为系统自带有线网卡,排名第二的 “2. enx00e04c680039” 是USB接口的有线网卡。如果需要同时对两块网卡做抓包,只需要在 tshark -i 参数后,加入网卡编号即可。所以最后执行的命令为: tshark-i1-i2-w cap2.pcap,就可以把流经TAP的全部流量,保存到 cap2.pcap 文件里。

几种常见网络抓包方式介绍_第3张图片

以上步骤虽然是以Linux操作系统的抓包机器来做示例,但完全可以移植到其他平台,如Windows平台甚至可以直接在图形界面的Wireshark里选定要抓包的网络接口,操作上更直观可用。从获得的cap2.pcap抓包文件里再做细致的数据包分析和检索。

如下图中查看的端点列表。

几种常见网络抓包方式介绍_第4张图片

以及下图中的往来HTTP流量。如果抓包机器上只有一个网卡,只能连到J3/J4接口之一,则下面这个截图里的HTTP流量,在同一时间内只能获得请求或者响应单个方向的流量。

几种常见网络抓包方式介绍_第5张图片

二、有网管功能的小交换机

上面介绍的无源 TAP固然非常便携,但如果不乐意在自己机器上多准备一个网络接口,就无法同时抓到双向的流量。如何解决这个问题呢?最简单的方式,是使用具备网管功能的交换机。现在具备网管功能的交换机并不昂贵,有大量适用于办公网络的小交换机可供选购。在选购的过程中,请注意它的功能列表是否标有“支持端口镜像”,如果有,就可以满足抓包的需求。如我们测试使用的这款tp-link TL-SG2005小交换机:

几种常见网络抓包方式介绍_第6张图片

这类设备使用方式取决于不同的品牌和型号,请阅读相关说明说。在我们这款设备中,只需要把监控机器接到某个网络接口(下图中抓包机器接在端口5上),并访问内置Web控制台,从Web控制台上,指定对哪个或哪几个端口进行流量镜像即可(下图中需要被抓包的机器在端口4上)。 配置示例如下图:

几种常见网络抓包方式介绍_第7张图片

如上图设置完成后,即可在端口5所连的抓包机器上,非常方便地对接在端口4所接机器执行抓包监控。

三、用两块网卡的Linux方案

hmmm,上面的方法确实都很不错啦,但好像都只支持有线连接的设备抓包?如果需要对无线设备的流量抓包怎么办呢?这可以通过各种装有2个网卡,搭建自己的无线 AP实现。预算低的可以选择树莓派这类ARM平台硬件系统,预算充裕的可以选择带无线网卡的各种迷你电脑。自行在这些机器安装合适的Linux发行版,并把这些设备配置成“有线-无线网卡”的网桥/无线接入点,然后直接在这台机器的网桥接口上进行抓包。这种方式可以指定源端机器的详细信息做过滤,如IP地址或MAC地方,抓包过滤可以更定制化更精确。以下我们以装了基于Debian系统的树莓派举例说明大体步骤。

几种常见网络抓包方式介绍_第8张图片

树莓派已自带一块有线网卡和一块无线网卡接口,在系统中分别名为eth0和wlan0。以下用树莓派3在官方Raspbian平台的情况举例。

首先安装 (1)网桥管理程序 bridge-utils、(2)软AP接入点管理程序hostapd、(3)命令行抓包工具tshark 和 (4)随机数产生工具rng-tools:

sudo apt-get install -y bridge-utils hostapd tshark rng-tools

要启用网桥功能,需要在内核里把 net.ipv4.ip_forward 置为1。修改 /etc/sysctl.conf ,加入以下这行:

net.ipv4.ip_forward=1

创建一个网桥br0,编辑 /etc/network/interfaces,把eth0 网卡加入网桥br0,把网桥br0的IP,设置为原来eth0的IP。

也就是【address 192.168.99.13】这一行,应为 eth0 网卡的原IP地址,其他信息如网关和dns等请根据实际情况修改。

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet manual

allow-hotplug wlan0
iface wlan0 inet manual

#创建一个网桥br0,把eth0加入这个网桥
#给网桥指定一个静态IP,这里用192.168.99.13,是因为树莓派所接网段为192.168.99.0/24,需要根据实际情况修改
#网桥的静态IP最好和原来的eth0静态ip保持一致,虽然不是强制项
auto br0
iface br0 inet static
        bridge_ports eth0
        address 192.168.99.13
        netmask 255.255.255.0
        network 192.168.99.0
        broadcast 192.168.99.255
        gateway   192.168.99.1
        dns-nameservers 8.8.8.8

#如果网桥需要用dhcp方式获得IP
#iface br0 inet dhcp

把无线网卡wlan0配置为AP热点,热点的ssid名为【wifi_ssid】,密码为【12345678】,编辑文件 /etc/hostapd/hostapd.conf

# 把wlan0网卡配置为ap热点
interface=wlan0
driver=nl80211
hw_mode=g
channel=6
ieee80211n=1
wmm_enabled=1
ht_capab=[HT40][SHORT-GI-20][DSSS_CCK-40]
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP
# 接入点名称,可按实际需求修改
ssid=wifi_ssid
# 接入点验证密码,可按实际需求修改
wpa_passphrase=12345678
# 把接入点加入网桥br0
bridge=br0

要持久化以上热点配置,编辑hostapd服务文件,执行命令 sudo vi/etc/systemd/system/hostapd.service,把 /etc/systemd/system/hostapd.service 文件的内容设置为:

[Unit]
Description=Hostapd Service

[Service]
Type=forking
ExecStart=/usr/sbin/hostapd -B /etc/hostapd/hostapd.conf

[Install]
#WantedBy=multi-user.target
WantedBy=graphical.target
Alias=hostapd.service

其中【WantedBy=】一行取决于当前系统的默认启动级别,可以先执行命令 systemctlget-default 确认默认启动级别。根据实际情况,选择其中一种。

再把hostapd服务指定为自启动模式:

sudo update-rc.d hostapd defaults
sudo update-rc.d hostapd enable
service hostapd status

完成后重启机器, sudo reboot now

重启重新登录系统后,执行以下命令查看网桥br0的状态:

$ brctl show br0
bridge name     bridge id               STP enabled     interfaces
br0             8000.b827eb99a031       no              eth0
                                                        wlan0

$ifconfig br0
br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.99.90  netmask 255.255.255.0  broadcast 192.168.99.255
        inet6 fe80::ba27:ebff:fe99:a031  prefixlen 64  scopeid 0x20<link>

执行以下命令,验证和查看wlan0网卡上的热点状态,在返回的内容里,看到【ssid wifi_ssid】,即为热点正常启动。

$sudo iw wlan0 info
Interface wlan0
        ifindex 3
        wdev 0x1
        addr b8:27:eb:cc:f5:64
        ssid wifi_ssid
        type AP
        wiphy 0
        channel 6 (2437 MHz), width: 20 MHz, center1: 2437 MHz
        txpower 31.00 dBm

重启和验证过网桥和热点信息后,扫描所在无线网络,果然看到名为“wifi_ssid”的接入点。从手机的WIFI设置上,选择加入该无线网络:

几种常见网络抓包方式介绍_第9张图片

输入正确的接入点验证密码后,手机获得了树莓派网桥分配的IP地址:

几种常见网络抓包方式介绍_第10张图片

此时只要登录树莓派,执行以下命令行,在 host参数里指定手机的IP地址,即可对该IP的所有流量进行精确抓包:

tshark -i br0 -w traffic_from_mobile.pcap 'host 192.168.99.114'

最后得到的 traffic_from_mobile.pcap 文件里就获得这台手机的完整流量了。

四、总结

从以上介绍可以看出,网络层抓包有各种可选方式,建议根据自己的需求和具体网络架构,选择适用的模式。另外也可以进行多种模式的叠加和串接,实现更灵活的抓包模式。

同时我们也要提醒一下:网络抓包有风险!不要贸然实施未获授权的抓包,可能会违法违规,以上方式只建议在实验和学习环境中使用。

最后,我们也再完整地总结一下上述三种方式的对比:

分流器(TAP) 小交换机 迷你电脑
成本 最低大约50元 最低大约200元 最低大约220元
复杂程度 简单 简单 稍微复杂
适用位置 灵活 有线 无线\
缺陷 抓包机器需要两个网络接口 有源,需要额外配置 需要一定的动手能力

Ref

  1. J. Bullock, J T. Parker - Wireshark for security professionals
  2. Using a Raspberry Pi 3 as a WiFi Access Point and Bridge
  3. NetworkConfiguration
  4. RPI-Wireless-Hotspot

你可能感兴趣的:(WEB安全,开发)