首页 > 其他分享 >远程抓包的几种方式

远程抓包的几种方式

时间:2024-03-20 16:45:03浏览次数:31  
标签:192.168 几种 9999 转发 镜像 远程 抓包 wireshark

远程抓包

环境

远端系统为linux,一般使用tcpdump;
远端系统为windows,一般使用tshark(wireshark的命令行版本,包含在wireshark安装包中);
近端(分析端)为linux或者windows 一般使用wireshark作为分析器;
远程抓包最简单的就是本地抓包存储为文件,传到另一台电脑,不过这种实时性不佳;
下面几种方式为实时远程抓包,方便业务排障。

Linux环境

SSH抓包

将捕获数据直接输出到stdout/标准输出,管道给wireshark分析。

#系统linux 本地抓包工具tcpdump
#这种方式并没有把shell切到远端,而是使用ssh执行命令的功能(不分配tty),此时管道后面为本地的wireshark;如果ssh登录进远端,shell切换进远端,管道后将会是远端的命令。
#此时不能使用-t开启交互,因为交互的数据也会发送给wireshark导致wireshark解析失败。

#root登录
ssh [email protected] "tcpdump -i eth0 -l -w -" | wireshark -k -i -

#非root登录执行命令,tcpdump抓包需要root权限,使用非交互模式输入密码,同时建议屏蔽错误输出避免干扰。
ssh [email protected] "echo 'password' | sudo -S tcpdump -i eth0 -l -w - 2>/dev/null" | wireshark -k -i -

网络转发

网络转发的基本原理就是把抓取的数据使用网络转发出去,常用工具为nc/ncat等,或者直接向/dev/tcp/[ip]/[port] 伪设备发送数据。

下面两种数据转发方式区别为:不同方向发起tcp会话,有防火墙或者NAT场景灵活选择。

TCP监听转发

#分析侧发起TCP会话

# -i 指定接口 -s 单包最大长度,为0代表默认的262144 -w - 代表std输出
# nc -l 监听 -p 端口
tcpdump -i eth0 -s0 -w - | ncat -l -p 9999

#本地从远程主机端口读取数据,管道给本地的wireshark
#wireshark -k 立即开始 -S 自动刷新 -i 接口   -i - 代表标准输入
ncat [remote ip] 9999 | wireshark -k -S -i -

TCP直接转发

#抓包侧发起TCP会话

#远端,抓包侧
tcpdump -i eth0 -s0 -w - > /dev/tcp/192.168.1.1/9999
#或使用nc转发
tcpdump -i eth0 -s0 -w - | ncat 192.168.1.1 9999

#近端,分析测,使用nc或者类似的工具均可
ncat -l -p 9999 | wireshark -k -i -

Windows环境

##远端为windows,命令和上面类似抓包工具换成Tshark##
#监听转发
tshark -i "本地连接* 1" -w - | ncat -l -p 9999
ncat 127.0.0.1 9999 | wireshark -k -S -i -
#直接转发
tshark -i USB-ETH1 -w - | ncat 127.0.0.1 9999
ncat -l -p 9999 | wireshark -k -S -i -

注意:操作系统环境下抓包要注意系统防火墙设置,尤其是监听转发方式。

网络设备

网络设备抓包一般使用SPAN/RSPAN/ERSPAN;SPAN(Switched Port Analyzer)是一种交换机的端口镜像技术,一般商用可管理的网络设备都支持,根据镜像口不同分为:

  • SPAN:基于接口镜像,将镜像数据通过接口传输
  • RSPAN:基于vlan镜像,将数据通过vlan传输
  • ERSPAN:基于隧道镜像,将数据通过隧道(GRE)传输

SPAN技术只是将数据镜像后引流,不具备抓包存储和分析能力,需要使用其他设备或软件进行抓包分析,部分网络设备支持抓包功能,这里有一个示例
下面使用H3C S6520X-EI演示SPAN技术:

#SPAN
#1 2两接口的双向数据镜像到3口,分析器在3口接收数据。
mirroring-group 1 local
mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 ten-gigabitethernet 1/0/2 both
mirroring-group 1 monitor-port ten-gigabitethernet 1/0/3
interface ten-gigabitethernet 1/0/3
  undo stp enable

#RSPAN
#1.
mirroring-group 1 remote-source

#ERSPAN
#将1口双向数据镜像到tunnel,分析器于远端1.1.1.1侧和2.2.2.2建立GRE隧道,镜像数据通过GRE隧道传输。
mirroring-group 1 local
mirroring-group 1 mirroring-port ten-gigabitethernet 1/0/1 both
mirroring-group 1 monitor-port ten-gigabitethernet 1/0/2 destination-ip 2.2.2.2 source-ip 1.1.1.1

#流镜像,流镜像其实就是上面三种镜像,不过使用过滤器仅保留关注的流量,减轻分析器的压力。
#镜像192.168.2.0/24访问互联网的WWW流量,以及192.168.2.0/24在工作时间发往192.168.1.0/24的IP流量。

time-range work 8:00 to 18:00 working-day

acl advanced 3000
  rule permit tcp source 192.168.2.0 0.0.0.255 destination-port eq www
  rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 time-range work
traffic classifier tech_c
  if-match acl 3000
traffic behavior tech_b
  mirror-to interface ten-gigabitethernet 1/0/3  
  #分析器在3接口接受数据,即SPAN模式
qos policy tech_p
  classifier tech_c behavior tech_b

interface ten-gigabitethernet 1/0/4
  #在连接网段的接口上配置
  qos apply policy tech_p inbound

参考1
参考2

标签:192.168,几种,9999,转发,镜像,远程,抓包,wireshark
From: https://www.cnblogs.com/bfhyqy/p/18055713

相关文章

  • Beyond Compare 远程对比代码
    BeyondCompare远程对比代码1、配置FTPBeyondCompare>>工具>>FTP配置配置2、远程比对打开会话,输入本地及远程文件或目录D:\www\erp#本地sftp://[email protected]//var/www/erp#远程IP后两个/对比过程中也可修改远程文件......
  • Html2canvas——图片空白的几种排查解决方案
    问题:用html2canvas生成画布图片,再转成pdf。生成图片时内容结构里的图片显示空白。解决:首先服务器设置图片允许跨域,如阿里云腾讯云配置跨域规则。其次图片设置crossOrigin=“anonymous”,并且拿到图片地址加随机参数如src+‘?v=’+Math.random()防止使用缓存,再者html2canvas......
  • fiddler 拦截抓包 安卓10
    https://blog.csdn.net/freeking101/article/details/118914275https://blog.51cto.com/u_13690151/5603754opensslx509-informder-subject_hash_old-inFiddlerRoot.cer -nooutopensslx509-informder-inFiddlerRoot.cer-oute5c3944b.0 mt管理器移到/system/e......
  • 在Linux中,如何挂载远程NFS共享或iSCSI目标?
    1.挂载远程NFS共享在Linux中挂载远程NFS(NetworkFileSystem)共享通常涉及以下步骤:服务器端配置:配置NFS服务器,编辑/etc/exports文件来定义要共享的目录以及访问权限。例如:#/etc/exports示例/path/to/shared/dirclient-hostname(rw,sync,no_subtree_check)更新NF......
  • Golang案例开发之gopacket监听网卡抓包(2)
    文章目录前言二、实践监听网卡抓包1.代码2.知识点OpenLive方法SetBPFFilter断言总结前言本节实战,监听指定网卡,进行网络抓包,根据分层,解析不同分层包的内容。二、实践监听网卡抓包1.代码代码如下(示例):packagemainimport( "fmt" "log" "......
  • 抓包程序系统代码+过滤规则
    抓包程序的过滤规则是一种强大的功能,它允许用户根据特定的条件来筛选和显示捕获的网络数据包。在Wireshark等抓包工具中,过滤规则通常使用一种称为“显示过滤器”(Display Filter)的语法来实现。这些过滤器可以帮助用户快速定位到感兴趣的数据包,从而更有效地进行分析。以下是......
  • SIT3051-3.3V 供电、1Mbps、待机与远程唤醒、低电流 CAN 总线收发,兼容替代MAX051
    SIT3051是一款应用于CAN协议控制器和物理总线之间的接口芯片,与具有CAN控制器的3.3V微处理器、微控制器(MCU)和数字信号处理器(DSP)或者等效协议控制器结合使用,具有高速、斜率控制、待机、低电流关断四种工作模式,共模范围可达-7V~+12V,可应用于工业自动化......
  • 在Linux中,列出几种常用的Linux备份工具并说明各自的适用场景。
    在Linux中,有多种备份工具可用于不同场景下的数据保护和系统恢复,以下是一些常用的备份工具及其适用场景:tar:适用场景:tar是Linux中最基础的归档工具,广泛应用于创建文件和目录的打包备份。它可以将多个文件或整个目录结构整合成一个单一的.tar文件,并可选地配合gzip、bzip2或xz等......
  • 设计模式学习(一)单例模式的几种实现方式
    目录前言饿汉式懒汉式懒汉式DCLP局部静态式(Meyers'Singleton)单例模板参考文章前言单例模式,其核心目标是确保在程序运行的过程中,有且只有存在一个实例才能保证他们的逻辑正确性以及良好的效率。因此单例模式的实现思路就是确保一个类有且只有一个实例,并提供一个该实例的全局访问......
  • 远程链接Linux开发
    第一步:pycharm链接第二步:选择上传文件路径第三步:将本地文件上传到远端pycharm操作远端机器方式#链接远端ip地址[email protected]#输入密码即可pycharm使用远端python解释器方式选择onssh链接远端机器选择python环境位置......