無論作為網絡運維人員����,還是安全滲透工程師��,在工作中都會無可避免地碰到網絡抓包的需求��。
對網絡運維人員��,網絡抓包可以:
定位網絡里的異常設備��;
排查網絡性能瓶頸�;
了解真實的網絡互聯狀態��。
對安全滲透工程師����,網絡抓包可以:
有助于逆向分析聯網型App����;
從真實流量中發現可利用的漏洞��;
定位可能的網絡后門和木馬����。
以上這些目標����,往往無法僅靠在本機上抓包完成����,必須在網絡層有更方便的抓包解決方案����。在古早還使用集線器(Hub)時��,由于Hub設備不夠“智能”����,它會把所有的流量轉發給所有的端口(除了發出端口之外)����,所以只要把監聽機
器的網卡設置為混雜模式(promiscuous mode)�,即可收到接在同一個Hub上其他機器的流量�。但這種方式隨著Hub退出市場����,也慢慢不再適用了��。
以下介紹幾種在實驗室環境和中小型網絡里的網絡抓包方式����。它們不是企業級專業級的解決方案��,而更適用于個人網絡逆向分析和問題定位�。
一�、網絡分流器(TAP)
網絡分流器大多都是無源型(passive)設備�,所以不需要裝任何軟件�,不需要有什么額外知識�,就能抓到流經網線的流量����。一款非常小巧便攜的適合個人使用的網絡分析器如圖:
上圖東西的全名叫“Throwing Star LAN TAP”��,用上述關鍵字在淘寶可以找到����,盛惠50大元�。通過和參照物的對比����,可以看出它非常小巧�,而且無需電源供電�,只是在接入網絡時會引起短暫的網絡中斷��,基本對網絡沒有影響�。
它共有4個RJ45口��,形成一個飛鏢狀(飛鏢的英文就是“Throwing Star”)的十字結構�。使用時把J1-J2串入需要做抓包的網絡中�,J3和J4連接抓包機器��。也就說J3和J4兩個口����,是分別捕獲流入和流出兩個方向的流量����,再分別復制給監聽系統的兩個網絡端口的����。所以要想同時捕獲監控鏈路里的所有流量��,監控工作臺電腦必須有兩塊用于嗅探的網卡�。這個也并不難實現��,除了默認的有線網卡之外����,只要再接一個USB接口的有線網卡即可�。以下為TAP接入網絡的場景:
TAP可以直接串在要抓包的設備前面��,也可以接到某臺交換設備前面��。如果接在交換設備前��,得到的流量可能很大����,在設置抓包參數時需要做適當的過濾�。如上圖示意圖����,我們使用的抓包機器為 Linux系統��,上有兩塊有線網卡����,分別連接J3和J4接口�。要注意的是�,抓包機器這樣接入TAP后�,自身是無法上網的����!
在抓包機器上����,執行 tshark-D 命令��,獲得系統里當前可以抓包的所有接口列表��。需要對哪個接口抓包��,可以用 -i 參數指定����。如下圖的網卡列表中��,排名第一的 "1.enp0s25" 即為系統自帶有線網卡�,排名第二的 “2. enx00e04c680039” 是USB接口的有線網卡��。如果需要同時對兩塊網卡做抓包��,只需要在 tshark -i 參數后�,加入網卡編號即可��。所以最后執行的命令為: tshark-i1-i2-w cap2.pcap����,就可以把流經TAP的全部流量��,保存到 cap2.pcap 文件里��。
以上步驟雖然是以Linux操作系統的抓包機器來做示例����,但完全可以移植到其他平臺��,如Windows平臺甚至可以直接在圖形界面的Wireshark里選定要抓包的網絡接口�,操作上更直觀可用�。從獲得的cap2.pcap抓包文件里再做細致的數據包分析和檢索����。
如下圖中查看的端點列表����。
以及下圖中的往來HTTP流量�。如果抓包機器上只有一個網卡����,只能連到J3/J4接口之一��,則下面這個截圖里的HTTP流量����,在同一時間內只能獲得請求或者響應單個方向的流量�。
二�、有網管功能的小交換機
上面介紹的無源 TAP固然非常便攜��,但如果不樂意在自己機器上多準備一個網絡接口�,就無法同時抓到雙向的流量��。如何解決這個問題呢��?最簡單的方式�,是使用具備網管功能的交換機?,F在具備網管功能的交換機并不昂貴�,有大量適用于辦公網絡的小交換機可供選購��。在選購的過程中��,請注意它的功能列表是否標有“支持端口鏡像”�,如果有�,就可以滿足抓包的需求��。如我們測試使用的這款tp-link TL-SG2005小交換機:
這類設備使用方式取決于不同的品牌和型號��,請閱讀相關說明說����。在我們這款設備中��,只需要把監控機器接到某個網絡接口(下圖中抓包機器接在端口5上)�,并訪問內置Web控制臺����,從Web控制臺上����,指定對哪個或哪幾個端口進行流量鏡像即可(下圖中需要被抓包的機器在端口4上)�。 配置示例如下圖:
如上圖設置完成后��,即可在端口5所連的抓包機器上����,非常方便地對接在端口4所接機器執行抓包監控��。
三�、用兩塊網卡的Linux方案
hmmm����,上面的方法確實都很不錯啦����,但好像都只支持有線連接的設備抓包��?如果需要對無線設備的流量抓包怎么辦呢����?這可以通過各種裝有2個網卡����,搭建自己的無線 AP實現�。預算低的可以選擇樹莓派這類ARM平臺硬件系統����,預算充裕的可以選擇帶無線網卡的各種迷你電腦����。自行在這些機器安裝合適的Linux發行版����,并把這些設備配置成“有線-無線網卡”的網橋/無線接入點�,然后直接在這臺機器的網橋接口上進行抓包����。這種方式可以指定源端機器的詳細信息做過濾�,如IP地址或MAC地方�,抓包過濾可以更定制化更精確��。以下我們以裝了基于Debian系統的樹莓派舉例說明大體步驟����。
樹莓派已自帶一塊有線網卡和一塊無線網卡接口��,在系統中分別名為eth0和wlan0�。以下用樹莓派3在官方Raspbian平臺的情況舉例����。
首先安裝 (1)網橋管理程序 bridge-utils��、(2)軟AP接入點管理程序hostapd�、(3)命令行抓包工具tshark 和 (4)隨機數產生工具rng-tools:
sudo apt-get install -y bridge-utils hostapd tshark rng-tools
要啟用網橋功能�,需要在內核里把 net.ipv4.ip_forward 置為1�。修改 /etc/sysctl.conf �,加入以下這行:
net.ipv4.ip_forward=1
創建一個網橋br0����,編輯 /etc/network/interfaces�,把eth0 網卡加入網橋br0��,把網橋br0的IP����,設置為原來eth0的IP�。
也就是【address 192.168.99.13】這一行����,應為 eth0 網卡的原IP地址��,其他信息如網關和dns等請根據實際情況修改����。
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet manual
allow-hotplug wlan0
iface wlan0 inet manual
#創建一個網橋br0����,把eth0加入這個網橋
#給網橋指定一個靜態IP�,這里用192.168.99.13�,是因為樹莓派所接網段為192.168.99.0/24�,需要根據實際情況修改
#網橋的靜態IP建議和原來的eth0靜態ip保持一致�,雖然不是強制項
auto br0
iface br0 inet static
bridge_ports eth0
address 192.168.99.13
netmask 255.255.255.0
network 192.168.99.0
broadcast 192.168.99.255
gateway 192.168.99.1
dns-nameservers 8.8.8.8
#如果網橋需要用dhcp方式獲得IP
#iface br0 inet dhcp
把無線網卡wlan0配置為AP熱點����,熱點的ssid名為【wifi_ssid】�,密碼為【12345678】����,編輯文件 /etc/hostapd/hostapd.conf :
# 把wlan0網卡配置為ap熱點
interface=wlan0
driver=nl80211
hw_mode=g
channel=6
ieee80211n=1
wmm_enabled=1
ht_capab=[HT40][SHORT-GI-20][DSSS_CCK-40]
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP
# 接入點名稱��,可按實際需求修改
ssid=wifi_ssid
# 接入點驗證密碼��,可按實際需求修改
wpa_passphrase=12345678
# 把接入點加入網橋br0
bridge=br0
要持久化以上熱點配置�,編輯hostapd服務文件��,執行命令 sudo vi/etc/systemd/system/hostapd.service����,把 /etc/systemd/system/hostapd.service 文件的內容設置為:
[Unit]
Description=Hostapd Service
[Service]
Type=forking
ExecStart=/usr/sbin/hostapd -B /etc/hostapd/hostapd.conf
[Install]
#WantedBy=multi-user.target
WantedBy=graphical.target
Alias=hostapd.service
其中【WantedBy=】一行取決于當前系統的默認啟動級別�,可以先執行命令 systemctlget-default 確認默認啟動級別��。根據實際情況��,選擇其中一種�。
再把hostapd服務指定為自啟動模式:
sudo update-rc.d hostapd defaults
sudo update-rc.d hostapd enable
service hostapd status
完成后重啟機器����, sudo reboot now ��。
重啟重新登錄系統后����,執行以下命令查看網橋br0的狀態:
$ brctl show br0
bridge name bridge id STP enabled interfaces
br0 8000.b827eb99a031 no eth0
wlan0
$ifconfig br0
br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.99.90 netmask 255.255.255.0 broadcast 192.168.99.255
inet6 fe80::ba27:ebff:fe99:a031 prefixlen 64 scopeid 0x20<link>
執行以下命令��,驗證和查看wlan0網卡上的熱點狀態��,在返回的內容里����,看到【ssid wifi_ssid】��,即為熱點正常啟動�。
$sudo iw wlan0 info
Interface wlan0
ifindex 3
wdev 0x1
addr b8:27:eb:cc:f5:64
ssid wifi_ssid
type AP
wiphy 0
channel 6 (2437 MHz), width: 20 MHz, center1: 2437 MHz
txpower 31.00 dBm
重啟和驗證過網橋和熱點信息后����,掃描所在無線網絡��,果然看到名為“wifi_ssid”的接入點�。從手機的WIFI設置上�,選擇加入該無線網絡:
此時只要登錄樹莓派�,執行以下命令行����,在 host參數里指定手機的IP地址�,即可對該IP的所有流量進行精確抓包:
tshark -i br0 -w traffic_from_mobile.pcap 'host 192.168.99.114'
最后得到的 traffic_from_mobile.pcap 文件里就獲得這臺手機的完整流量了��。
四����、總結
從以上介紹可以看出��,網絡層抓包有各種可選方式��,建議根據自己的需求和具體網絡架構����,選擇適用的模式��。另外也可以進行多種模式的疊加和串接����,實現更靈活的抓包模式��。
同時我們也要提醒一下:網絡抓包有風險����!不要貿然實施未獲授權的抓包�,可能會違法違規�,以上方式只建議在實驗和學習環境中使用����。
最后��,我們也再完整地總結一下上述三種方式的對比:
| 分流器(TAP) | 小交換機 | 迷你電腦 |
|---|
| 成本 | 最低大約50元 | 最低大約200元 | 最低大約220元 |
| 復雜程度 | 簡單 | 簡單 | 稍微復雜 |
| 適用位置 | 靈活 | 有線 | 無線\ |
| 缺陷 | 抓包機器需要兩個網絡接口 | 有源����,需要額外配置 | 需要一定的動手能力 |
(朱筱丹 | 天存信息)
Ref
- J. Bullock, J T. Parker - Wireshark for security professionals
- Using a Raspberry Pi 3 as a WiFi Access Point and Bridge
- NetworkConfiguration
- RPI-Wireless-Hotspot
