Panabit镜像功能配合wireshark抓包的方法

Panabit的协议识别都是基于数据包的特征,因此捕获数据包样本是我们进行识别第一步要做的事情。下面就和大家说一下如何捕获网络应用的数据包。

到百度搜索wireshark,很容易就能找到,把软件下载并安装好。
打开wireshark

设置wireshark
点击Capture-->options
 

1.选择网卡,wireshark将捕获这个网卡所有收发的数据包
2.设置过滤规则,比如我不像捕获arp类型的数据包就填上“not arp”,填入的内容符合语法这一栏会是绿色,否则是红色。例如如果我填的是“no arp”那么这栏会是红色,“no”不符合语法
3.star,开始抓包
抓包过程中常用到的按键

上图红色数字对应按钮的功能:
1,开始抓包
2,停止抓包
3,重新抓包
4,保存数据包
抓到我们想要的数据后就点停止抓包,然后保存。一般保存为pcap格式。

在抓某个网络应用的数据包方法也非常重要。首先,在抓包之前,要将电脑上的一些无关的网络应用全部关闭,从而保证wireshark抓到的数据都是我们想要抓的应用产生的;第二,要抓到应用完整的数据,要先打开wireshark开始抓包后,再打开我们要抓的网络应用程序。比如,我要抓优酷某个视频,我会先用一个TXT文件记录下这个视频的链接,然后打开wireshark开始抓包,再在IE里输入记录下的链接,这样抓到的包就是这个链接完整的数据了。而不是等到链接上的视频开始播放时再打开wireshark抓包。
抓windows下的应用我们,利用上面的方法就能轻松的抓到想要抓的数据包,但是如果我们要抓的并不是windows的应用呢,Wireshark不能安装在windows以外设备上,比如手机、平板电脑、电视机顶盒等等。
遇到这样的情况我们就需要将我们要抓的数据镜像出来,再用wireshark来抓包。下面就介绍用Panabit镜像功能抓包的方法
接线方式

Panabit设置
 

根据上面的图,我们把装有wireshark的客户机与em2直连,在Panabit里将手机(假设手机的IP是192.168.0.216)的数据镜像到em2接口,这样我们就能抓到手机程序的数据包了。
这个方法是抓取无法安装wireshark的设备数据包的通用方法。
Panabit还内置了一些命令,可以将Panabit内部的数据镜像出来

1 查找WAN新路的ID
使用floweye nat listproxy命令可以列出当前系统的所有WAN线路或LAN接口,其中第1列是线路的类型,第2列是线路的ID,第3列是线路的名称

2.镜像WAN线路的数据
floweye nat config dump_proxy=wan线路的ID号  dump_if=网卡名  
floweye nat config dump_proxy=4  dump_if=em2名这条命令的作用就是将ID号为4的wan线路数据镜像到em2上

3.镜像PPPOE拨号控制包
floweye pppoe config dump_proxy=4  dump_if=em2名这条命令的作用就是将ID号为4的PPPOE拨号线路数据镜像到em2上
这个命令和上面的nat config命令的区别是,pppoe config配置的只抓PPPOE拨号控制包,nat config配置的只抓非PPPOE拨号的包,所以两者之间可以互补,
因为偶尔会出现拨号不成功的情况,所以只抓PPPOE拨号控制包就比较重要,对于分析PPPOE拨号不成功,用pppoe config命令配置抓包比较合适。

4.镜像PPPOE服务器与radius通讯的数据
floweye radius config dump_if=emX
floweye radius stat可以看到dump_pktnum这个计数器,表示有多少包镜像出去了

5. DPI 状态
panaos#floweye dpi stat
watch_kad=1
chkudp_pktnum=8
tmpnode_ttl=5
xping_enable=1
gametrack_enable=1
thunder_enable=0
p2p_sntrack=0
nettv_sntrack=0
check_httphdr=1
check_httpres=1
track_httproxy=0
ctx_ttl=20
watcher_colls=0
key_stat=205/151[8/32]
bdyy_enable=1
bdyy_ttl=180
bdyy_minflow=3
bdyy_objpoolsz=256
bdyy_flowpoolsz=512
bdyy_objcnt=0
bdyy_flowcnt=0
bdyy_objfail=0
bdyy_objpanic=0
bdyy_flowfail=0
bdyy_flowidentify=0
bdyy_hits=0
dpiobj_poolsz=3276
dpictx_stat=0/0[cnt/max]
watcher_stat=0/1[cnt/max]
dpiobj_last=0
panic_dpiobj=0/0/0/0/0/0[0/1/2/3/4/5]

panaos#floweye
if
em
bridge
policy
app
agp
flow
node
port
util
xping
ipobj
table
key
appobj
chart
vlink
conlimit
logger
jflow
ipverify
urlfilter
nat
skipsyn
dns
dpi
ipmac
usrinfo
webauth
gtp
route
ipfrag
module
hooker
l2route
pppoe
pppoesvr
pppoeippool
pppoeacct
rtentry
radius
ixcache
dhcpsvr
dhcpsta
dhcplease
icmpproxy
clntpxy
rateobj
syslog
hostinfo
natevent

Panabit镜像功能配合wireshark抓包的方法的更多相关文章

  1. Mac OS X上使用Wireshark抓包

    Wireshark针对UNIX Like系统的GUI发行版界面采用的是X Window(1987年更改X版本到X11).Mac OS X在Mountain Lion之后放弃X11,取而代之的是开源的X ...

  2. 使用wireshark抓包分析-抓包实用技巧

    目录 使用wireshark抓包分析-抓包实用技巧 前言 自定义捕获条件 输入配置 输出配置 命令行抓包 抓取多个接口 抓包分析 批量分析 合并包 结论 参考文献 使用wireshark抓包分析-抓包 ...

  3. Wireshark抓包分析/TCP/Http/Https及代理IP的识别

    前言 坦白讲,没想好怎样的开头.辗转三年过去了.一切已经变化了许多,一切似乎从没有改变. 前段时间调研了一次代理相关的知识,简单整理一下分享之.如有错误,欢迎指正. 涉及 Proxy IP应用 原理/ ...

  4. wireshark怎么抓包、wireshark抓包详细图文教程

    wireshark怎么抓包.wireshark抓包详细图文教程 作者:佚名  来源:本站整理  发布时间:2013-05-02 19:56:27 本日:53 本周:675 本月:926 总数:3749 ...

  5. Wireshark抓包工具使用教程以及常用抓包规则

    转载:http://fangxin.blog.51cto.com/1125131/735178 Wireshark是一个非常好用的抓包工具,当我们遇到一些和网络相关的问题时,可以通过这个工具进行分析, ...

  6. wireshark 抓包分析 TCPIP协议的握手

    wireshark 抓包分析 TCPIP协议的握手 原网址:http://www.cnblogs.com/TankXiao/archive/2012/10/10/2711777.html 之前写过一篇 ...

  7. wireshark抓包分析——TCP/IP协议

    本文来自网易云社区 当我们需要跟踪网络有关的信息时,经常会说"抓包".这里抓包究竟是什么?抓到的包又能分析出什么?在本文中以TCP/IP协议为例,简单介绍TCP/IP协议以及如何通 ...

  8. wireshark怎么抓包、wireshark抓包详细图文教程(转)

    wireshark怎么抓包.wireshark抓包详细图文教程 wireshark是非常流行的网络封包分析软件,功能十分强大.可以截取各种网络封包,显示网络封包的详细信息.使用wireshark的人必 ...

  9. Wireshark抓包数据:理解与分析

    wireshark是一个非常好用的抓包工具,本文根据平时抓包经验,对之前wireshark抓包的一些常见知识点进行了整理. 有不当之处,欢迎指正 1.SYN,FIN会消耗一个序号,单独的ACK不消耗序 ...

随机推荐

  1. linux系统升级openssh

    一.升级前准备工作 安装openssh过程需gcc,zlib-devel,openssl-devel,等编译环境,如果通过rpm包来安装,需要解决各种依赖包,故配置本地yum源解决依赖问题. 1. 配 ...

  2. Redis 复制功能详解

    Redis 复制功能的几个重要方面: 1. 一个Master可以有多个Slave:2. Redis使用异步复制.从2.8版本开始,Slave会周期性(每秒一次)发起一个Ack确认复制流(replica ...

  3. Ubuntu NFS搭建过程

    先简单介绍一下NFS服务器是什么? NFS server可以看作是一个FILE SERVER,它可以让你的PC通过网络将远端的NFS SERVER共享出来的档案MOUNT到自己的系统中,在CLIENT ...

  4. java并发学习第五章--线程中的锁

    一.公平锁与非公平锁 线程所谓的公平,就是指的是线程是否按照锁的申请顺序来获取锁,如果是遵守顺序来获取,这就是个公平锁,反之为非公平锁. 非公平锁的优点在于吞吐量大,但是由于其不是遵循申请锁的顺序来获 ...

  5. kubernetes之二 使用minikube创建单节点k8s本地集群

    使用Minikube来运行kubernetes集群是最简单.快捷的途径.Minikube是一个构建单节点集群的工具,对于测试Kubernetes和本地开发应用都非常有用.官方安装minikube教程请 ...

  6. 父工程 pom版本

    <!-- 集中定义依赖版本号 --> <properties> <junit.version>4.12</junit.version> <spri ...

  7. ActiveMQ点对点模式

    1.安装ActiveMQ服务器(略) 2.启动ActiveMQ,浏览器访问8161端口,默认账号admin/admin 3. 生产者代码 package test001; import org.apa ...

  8. OC中SEL,类别,继承,协议的使用

    1.SEL SEL是selector的缩写,selector在OC中作用是定义一个方法变量,通过该方法变量来调用方法.我们在后面的UI中会经常用selector来调用事件方法.下面我将举两个例子来说明 ...

  9. How To Create/Extend Swap Partition In Linux Using LVM

    https://www.2daygeek.com/how-to-create-extend-swap-partition-in-linux-using-lvm/ BY RAMYA NUVVULA ·  ...

  10. ionic学习使用笔记(二) slide 组件的使用

    开始做的时候,遇到了个要用ionic实现 有一系列的序列需要展示,但是当前页面上只能展示一小部分,剩余的在没有出现时是隐藏的,还得能滑动出现,但是又不能有滚动条. 之前使用jQuery来实现的话,其实 ...