Panabit镜像功能配合wireshark抓包的方法

Panabit的协议识别都是基于数据包的特征,因此捕获数据包样本是我们进行识别第一步要做的事情。下面就和大家说一下如何捕获网络应用的数据包。

到百度搜索wireshark,很容易就能找到,把软件下载并安装好。
打开wireshark

设置wireshark
点击Capture-->options
 

1.选择网卡,wireshark将捕获这个网卡所有收发的数据包
2.设置过滤规则,比如我不像捕获arp类型的数据包就填上“not arp”,填入的内容符合语法这一栏会是绿色,否则是红色。例如如果我填的是“no arp”那么这栏会是红色,“no”不符合语法
3.star,开始抓包
抓包过程中常用到的按键

上图红色数字对应按钮的功能:
1,开始抓包
2,停止抓包
3,重新抓包
4,保存数据包
抓到我们想要的数据后就点停止抓包,然后保存。一般保存为pcap格式。

在抓某个网络应用的数据包方法也非常重要。首先,在抓包之前,要将电脑上的一些无关的网络应用全部关闭,从而保证wireshark抓到的数据都是我们想要抓的应用产生的;第二,要抓到应用完整的数据,要先打开wireshark开始抓包后,再打开我们要抓的网络应用程序。比如,我要抓优酷某个视频,我会先用一个TXT文件记录下这个视频的链接,然后打开wireshark开始抓包,再在IE里输入记录下的链接,这样抓到的包就是这个链接完整的数据了。而不是等到链接上的视频开始播放时再打开wireshark抓包。
抓windows下的应用我们,利用上面的方法就能轻松的抓到想要抓的数据包,但是如果我们要抓的并不是windows的应用呢,Wireshark不能安装在windows以外设备上,比如手机、平板电脑、电视机顶盒等等。
遇到这样的情况我们就需要将我们要抓的数据镜像出来,再用wireshark来抓包。下面就介绍用Panabit镜像功能抓包的方法
接线方式

Panabit设置
 

根据上面的图,我们把装有wireshark的客户机与em2直连,在Panabit里将手机(假设手机的IP是192.168.0.216)的数据镜像到em2接口,这样我们就能抓到手机程序的数据包了。
这个方法是抓取无法安装wireshark的设备数据包的通用方法。
Panabit还内置了一些命令,可以将Panabit内部的数据镜像出来

1 查找WAN新路的ID
使用floweye nat listproxy命令可以列出当前系统的所有WAN线路或LAN接口,其中第1列是线路的类型,第2列是线路的ID,第3列是线路的名称

2.镜像WAN线路的数据
floweye nat config dump_proxy=wan线路的ID号  dump_if=网卡名  
floweye nat config dump_proxy=4  dump_if=em2名这条命令的作用就是将ID号为4的wan线路数据镜像到em2上

3.镜像PPPOE拨号控制包
floweye pppoe config dump_proxy=4  dump_if=em2名这条命令的作用就是将ID号为4的PPPOE拨号线路数据镜像到em2上
这个命令和上面的nat config命令的区别是,pppoe config配置的只抓PPPOE拨号控制包,nat config配置的只抓非PPPOE拨号的包,所以两者之间可以互补,
因为偶尔会出现拨号不成功的情况,所以只抓PPPOE拨号控制包就比较重要,对于分析PPPOE拨号不成功,用pppoe config命令配置抓包比较合适。

4.镜像PPPOE服务器与radius通讯的数据
floweye radius config dump_if=emX
floweye radius stat可以看到dump_pktnum这个计数器,表示有多少包镜像出去了

5. DPI 状态
panaos#floweye dpi stat
watch_kad=1
chkudp_pktnum=8
tmpnode_ttl=5
xping_enable=1
gametrack_enable=1
thunder_enable=0
p2p_sntrack=0
nettv_sntrack=0
check_httphdr=1
check_httpres=1
track_httproxy=0
ctx_ttl=20
watcher_colls=0
key_stat=205/151[8/32]
bdyy_enable=1
bdyy_ttl=180
bdyy_minflow=3
bdyy_objpoolsz=256
bdyy_flowpoolsz=512
bdyy_objcnt=0
bdyy_flowcnt=0
bdyy_objfail=0
bdyy_objpanic=0
bdyy_flowfail=0
bdyy_flowidentify=0
bdyy_hits=0
dpiobj_poolsz=3276
dpictx_stat=0/0[cnt/max]
watcher_stat=0/1[cnt/max]
dpiobj_last=0
panic_dpiobj=0/0/0/0/0/0[0/1/2/3/4/5]

panaos#floweye

if

em

bridge

policy

app

agp

flow

node

port

util

xping

ipobj

table

key

appobj

chart

vlink

conlimit

logger

jflow

ipverify

urlfilter

nat

skipsyn

dns

dpi

ipmac

usrinfo

webauth

gtp

route

ipfrag

module

hooker

l2route

pppoe

pppoesvr

pppoeippool

pppoeacct

rtentry

radius

ixcache

dhcpsvr

dhcpsta

dhcplease

icmpproxy

clntpxy

rateobj

syslog

hostinfo

natevent

Panabit镜像功能配合wireshark抓包的方法的更多相关文章

  1. Mac OS X上使用Wireshark抓包

    Wireshark针对UNIX Like系统的GUI发行版界面采用的是X Window(1987年更改X版本到X11).Mac OS X在Mountain Lion之后放弃X11,取而代之的是开源的X ...

  2. 使用wireshark抓包分析-抓包实用技巧

    目录 使用wireshark抓包分析-抓包实用技巧 前言 自定义捕获条件 输入配置 输出配置 命令行抓包 抓取多个接口 抓包分析 批量分析 合并包 结论 参考文献 使用wireshark抓包分析-抓包 ...

  3. Wireshark抓包分析/TCP/Http/Https及代理IP的识别

    前言 坦白讲,没想好怎样的开头.辗转三年过去了.一切已经变化了许多,一切似乎从没有改变. 前段时间调研了一次代理相关的知识,简单整理一下分享之.如有错误,欢迎指正. 涉及 Proxy IP应用 原理/ ...

  4. wireshark怎么抓包、wireshark抓包详细图文教程

    wireshark怎么抓包.wireshark抓包详细图文教程 作者:佚名  来源:本站整理  发布时间:2013-05-02 19:56:27 本日:53 本周:675 本月:926 总数:3749 ...

  5. Wireshark抓包工具使用教程以及常用抓包规则

    转载:http://fangxin.blog.51cto.com/1125131/735178 Wireshark是一个非常好用的抓包工具,当我们遇到一些和网络相关的问题时,可以通过这个工具进行分析, ...

  6. wireshark 抓包分析 TCPIP协议的握手

    wireshark 抓包分析 TCPIP协议的握手 原网址:http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html 之前写过一篇 ...

  7. wireshark抓包分析——TCP/IP协议

    本文来自网易云社区 当我们需要跟踪网络有关的信息时,经常会说"抓包".这里抓包究竟是什么?抓到的包又能分析出什么?在本文中以TCP/IP协议为例,简单介绍TCP/IP协议以及如何通 ...

  8. wireshark怎么抓包、wireshark抓包详细图文教程(转)

    wireshark怎么抓包.wireshark抓包详细图文教程 wireshark是非常流行的网络封包分析软件,功能十分强大.可以截取各种网络封包,显示网络封包的详细信息.使用wireshark的人必 ...

  9. Wireshark抓包数据:理解与分析

    wireshark是一个非常好用的抓包工具,本文根据平时抓包经验,对之前wireshark抓包的一些常见知识点进行了整理. 有不当之处,欢迎指正 1.SYN,FIN会消耗一个序号,单独的ACK不消耗序 ...

随机推荐

  1. Firewalld--03 富规则、备份恢复、开启内部上网

    目录 防火墙富规则.备份恢复.开启内部上网 1. 防火墙富规则策略 2.Firewalld备份恢复 3. 防火墙开启内部上网 防火墙富规则.备份恢复.开启内部上网 1. 防火墙富规则策略 ​ Fire ...

  2. 线上nginx 平滑添加新模块;如(--with-http_realip_module)

    nginx 添加模块1.查看当前nginx信息(配置文件路径,启动用户...) ps aux | grep nginx 2.查看当前nginx已启用的模块(记录模块信息,安装路径)./nginx -V ...

  3. linux--基础知识1

    #进入终端窗口,root命令提示符#,普通用户登陆提示符$,切换终端用户 ctrl+shift+F2,退出终端命令exit #init 0 关机  reboot 重启  ls查看当前目录下文件  ls ...

  4. 树——binary-tree-maximum-path-sum(二叉树最大路径和)

    问题: Given a binary tree, find the maximum path sum. The path may start and end at any node in the tr ...

  5. alert(1) to win 15

  6. Java数组重修,猜数小游戏改进和打印正三角形

    数组重修,猜数小游戏 要求:从键盘输入一个数,判断数组是否包含此数,运用随机数 我们可能会这样写 import java.util.Random; import java.util.Scanner; ...

  7. flask之url_for函数

    一:url_for函数 干什么的?传入函数名,得到函数的路由地址(访问视图函数的地址) from flask import Flask from flask import url_for app = ...

  8. drf 的分页功能

    1 settings中配置 page_size = 20 代表每页20条数据 REST_FRAMEWORK = { 'DEFAULT_PARSER_CLASSES': ( 'rest_framewor ...

  9. python类对象属性查找原理

    class Foo(object): def __init__(self): # 这是一个对象属性 self.obj_pro = 12 # 这是一类属性 c_pro = 11 # 这是一个静态方法 @ ...

  10. ckeditor如何能实现直接粘贴把图片上传到服务器中?

    在之前在工作中遇到在富文本编辑器中粘贴图片不能展示的问题,于是各种网上扒拉,终于找到解决方案,在这里感谢一下知乎中众大神以及TheViper. 通过知乎提供的思路找到粘贴的原理,通过TheViper找 ...