通过wirshark抓包处理TCP流并还原文件

Posted 2023-04-04 z z z308

想要完成这个实验，我们首先先下载wirshark和winhex这两个软件。Wireshark的功能上来看，只是监听网络流量信息并完整的记录下来，起到还原现场的作用。Winhex是一款非常优秀的16进制收费的编辑器。大家可以直接到官网下载。

    做实验之前得确保你的手机和电脑到都连到同一个子网，并在电脑上登录QQ，然后打开wirshark，本次实验我们连的的是校园网，所以我们选择WLAN。 

在"应用显示过滤器" 中输入ip.src==热点的IP地址，针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况：
（1）对源地址为xx的包的过滤，即抓取源地址满足要求的包。
表达式为：ip.src == xx
（2）对目的地址为xx的包的过滤，即抓取目的地址满足要求的包。
表达式为：ip.dst == xx
（3）对源或者目的地址为xx的包的过滤，即抓取满足源或者目的地址的ip地址是xx的包。
表达式为：ip.addr == xx,或者 ip.src == xx or ip.dst == xx
（4）要排除以上的数据包，我们只需要将其用括号囊括，然后使用 "!" 即可。
表达式为：!(表达式)

 打开手机QQ并向我的电脑发送一张图片，此时wirshark会捕捉到相应的数据，如下图单击右键选择一个TCP流，选择追踪流，再选择TCP流。

 

如上图选择完之后点击另存为并以文件名后缀为.jpg的格式保存，如下图

 

紧接着打开winhex，打开保存的文件，找到FFD8,并将FFD8之前的数据删除并保存文件。(注：JPEG图片文件头为

FFD8) 

 到这里就大功告成啦，

本人初学网络渗透，如有不当之处，欢迎大家指正。

TCP与UDP协议分析

1 案例1：TCP与UDP协议分析
1.1 问题
1、通过抓包分析TCP与UDP的封装格式
2、通过抓包分析TCP三次握手
1.2 方案
1、实验环境由两台主机PC1和PC2组成，PC1使用宿主机，PC2使用VMWare虚拟机，确保两台主机通信正常（需要关闭PC2的防火墙）
2、在PC1上运行科来进行抓包
3、在PC1上通过远程桌面访问PC2，然后在PC1上分析数据包，如图-1所示。

1.3 步骤
实现此案例需要按照如下步骤进行。

          1、第一次握手，如图-2所示。

2、第二次握手，如图-3所示。

3、第三次握手，如图-4所示。

2 案例2：配置应用服务
2.1 问题
1、eNSP配置HTTP服务
2、eNSP配置DNS服务
2.2 方案
拓扑图如图-5所示。

2.3 步骤
实现此案例需要按照如下步骤进行。

     1、开启HTTP服务，如图-6所示。

开启DNS服务，添加www.nsd.com对应192.168.1.1，如图-8，图-9所示。



3 案例3：Telnet远程管理
3.1 问题
使用Telnet远程访问交换机、路由器。

3.2 方案
如图-11所示。

3.3 步骤
实现此案例需要按照如下步骤进行。

      1、配置SW1的管理IP地址

[SW1]interface vlan 1

[SW1-Vlanif1]ip address 23.1.1.3 255.255.255.0

[SW1-Vlanif1]undo shutdown

      2、配置静态路由

[R1]ip route-static 23.1.1.0 255.255.255.0 12.1.1.2

[SW1]ip route-static 12.1.1.0 255.255.255.0 23.1.1.2

    3、配置Telnet

[Huawei]user-interface vty 0 4

[Huawei-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):huawei123

[Huawei-ui-vty0-4]protocol inbound telnet

[Huawei-ui-vty0-4]user privilege level 15

测试