Sniffer抓包分数据包分析手册
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在主菜单,选择 Capture(捕获),选中 Define filter(定义过滤器)。在 Define Filter (定义过滤器) 中的 Address(地址)的 Address(地址类型)选择 Hardware;Mode(模式) 选择 Include(包含);在 Station1(位置 1) 输入认证客户端电脑的网卡 MAC 地址: 0040-050c-0ac4,Station 2(位置 2) 输入交换机的 MAC 地址 00d0-f8ef-99dc,选择捕获双向 数据流;然后有在 Station1 (位置 1)输入认证客户端电脑的网卡 MAC 地址:0040-050c-0ac4, 在 Station 2(位置 2)输入组播地址:0180-C200-0003(注:此组播地址为我们客户端私有组 播地址),选择捕捉双向数据流。然后选择 Capture(选择过滤器)中的 Select Filter 中的 Default,具体的操作如图所示:
3、客户端 Suppliant 发送对前一个 EAP 请求数据帧进行响应,采用 EAP 数据帧的方式发送客 户端的请求信息(用户名)。
ix
说明:1、802.1X Packet Type =0 表示一个 EAP 数据包 2、EAP:Code= 2 表示一个 EAP 响应数据包 3、EAP:Message = “hhh ” 表示请求的用户名是 hhh。
1、 捕获认证客户端电脑(192.168.0.241/24)与 S2126G 交换机交互的报文;
2Biblioteka Baidu 捕获 S2126G 交换机与 SAMII 服务器(192.168.0.232)交互的报文;
三、所捕获得到的 sniffer 报文的文件命名:请尽可能采用一目了然的文件名,即从文件名即
可以大概知道该 sniffer 的报文的内容;同时,对于每个 sniffer 文件,请用一个 readme.txt
简短地说明,这样便于相关的人员能够更好地知道 sniffer 报文的内容;
四、交换机的配置:
show run
Building configuration...
Current configuration : 633 bytes
version 1.0
hostname Switch
radius-server host 192.168.0.232
viii
说明: 1)802.1X Version =1 表示当前的 802.1X 协议版本是 1。 2)802.1X Packet Type = 0 表示的是 802.1X, PACKET DATA 的内容是:一个 EAP 数据包。 3)EAP:Code=1 表示是一个请求数据包。 4)EAP Identifier=1 EAP 标识是 1。 5)EAP Data 后面跟随的是数据内容。
xii
NAS 到 SAMII 报文交互
步骤一:定义 Sniffer 捕获过滤表 在 Sniffer 的菜单中选择捕获项(Capture)中的定义过滤表(define fliter),如图:
在地址卡(Address)中进行定义,具体规则如下: 在地址类型(address)项中选择:IP
xiii
如图所示:
4、NAS 发起一个对客户端的 EAP-MD5 挑战信息数据包。
解释:其中在 EAP DATA 里面: 1) EAP Type = 4 表示的是 MD5_challenge type ,表示请求相关的 MD5 挑战认证的相
x
关信息。 5、客户端对 MD5_challenge 挑战信息进行响应,发送一个响应数据包。
xx
该数据包由以下特征: 1.在 IP 的内容中,源地址(source address)为 SAM 服务器的的 IP 地址,目的地址(destination address)为的交换机(NAS)IP 地址。 UDP 的内容中,源端口(source port)为 1812,目的端口(destination port)为 1812。 Radius 的内容中,code 的值标识为 11,含义为由 SAM 服务器向交换机发出的接入询问。 Radius 的内容中,Identifier 的值为 1,表示这个包是 SAM 服务器向交换机的第一个接入请求 包作出的响应。 具备以上特征的数据包认定为 SAM 服务器向交换机(NAS)发送的接入询问数据包(RADIUS access-challenge)。 三.交换机(NAS)向 SAM 服务器发起的第二次接入请求(RADIUS Access-request) 数据包如图:
Sniffer 抓包分数据包分析手册 前言
现在大家在一线解决故障过程中,经常会利用 sniffer 软件来分析网络中的数据包,从而 为故障的解决及相关的部门(如研发)提供更有说服力的数据。应该来说,sniffer 的包文对 于解决问题确实起到了很大的作用,但很多时候有些人所提供的 sniffer 数据包什么数据都抓, 很混,要花很大的力气才能对看明白该数据包,另外,很多时候没有给出相应的抓包的网络拓 扑图,数据包中的源端口、目的端口、IP 地址等方面的说明,这样不利于相关人员的分析和定 位。为此,我做个这方面的 case,供大家参考,望大家能够提供更有价值的数据给相关的人员。
1、EAP-PACKET:0000 0000 表示的是一个 EAP 数据包。 2、EAPOL-START:0000 0001 表示的是一个 EAPOL-START 帧。 3、EAPOL-LOGOFF:0000 0010 表示的是一个 EAPOL-LOGFF 帧。 4、EAPOL-KEY:0000 0010 表示的一个 EAPOL-KEY 帧。 2、NAS 设备发送一个对 EAPOL-START 响应 EAP 请求数据帧(请求相关信息)
xxi
该数据包有以下特征: 1. 在 IP 的内容中,源地址(source address)为交换机(NAS)的 IP 地址,目的地址(destination address)为 SAM 服务器的 IP 地址。 UDP 的内容中,源端口(source port)为 1812,目的端口(destination port)为 1812。 3. Radius 的内容中,code 的值标识为 1 Radius 的内容中,Identifier 的值为 2,说明该数据包为二次请求包。 具备以上特征的数据包认定为交换机(NAS)向 SAM 服务器发起的二次接入请求包(RADIUS Access-request)。 四.SAM 服务器向交换机(NAS)发送的接入允许包(RADIUS access-accept) 数据包如图:
十、分析捕获所得到的数据包: 1、首先分析客户端软件发起认证时的 802.1X EAPOL-START 数据包
vii
报文说明: A、 一般来说,由客户端发起一个带有组播地址为 0180-C200-0003 的 EAPOL-START 数据帧。 B、 在数据包中,整个 EAPOL 数据包封装在普通 802.3 以太网帧中。首先是一个普通以太网相 关的源 MAC 地址和目的 MAC 地址,其中目的 MAC 地址是 802.1X 协议申请了一个组播地址 0180-C200-0003。后面是 802.1X 协议包头内容:(1)802.1X 协议版本:0000 0001;(2)802.1X 报文类型:0000 0001 表示是一个 EAPOL-START 报文;(3)802.1X 报文长度为 0,表示是 PACKET BODY FIELD 没有实际内容,全部采用零来填充。(4)在 802.1X 报文中,版本字段长度是一个 字节,指明现今 EAPOL 的版本号,一般来说填充的是:0000 00001。(4)包类型字段(Packet Type):其中长度为一个字节,表示的正在传输包的类型,主要有以下几种数据类型:
iii
iv
v
六、单击 sniffer 软件左上角的“开始”按键,开始捕获数据: 七、运行客户端软件,开始认证; 八、停止捕获,则选择“捕获-Æ停止并显示”:
vi
九、保存捕获所得到的数据包文件,SNIFFER 主菜单 FILE 选项的选择 SAVE AS,选择一个保存 位置,输入保存的文件名称,保存文件,此处,所采用的文件名为:pc_nas(注:在取文件名 时,请尽可能采用一目了然的文件名,这样便于分析)
i
认证客户端与 NAS 设备(交换机)报文交互
一、捕获数据包拓扑图:
SAMII 服务器 192.168.0.232/24 MAC:
F0/2 F0/16
S2126G 交换机 192.168.0.244/24 MAC:00D0-F8EF-99DC
二、捕获数据包的目的:
认证客户端电脑 192.168.0.241/16 MAC:0040-050c-0AC4
aaa authentication dot1x
aaa accounting server 192.168.0.232
ii
aaa accounting enable secret level 1 5 %2,1u_;C34-8U0<D4'.tj9=GQ+/7R:>H enable secret level 15 5 %2-aeh`@34'dfimL4t{bcknAQ7zyglow interface fastEthernet 0/16
6、NAS 发送一个成功的消息给认证客户端,并且把相关 NAS 数据逻辑端口给打开。
说明:EAP Code = 3 表示成功认证的数据包。 7、 断开客户端的连接时,客户端发送一个 EAPOL-LOGOFF 报文给 NAS
xi
8、 NAS 发送一个失败响应数据包对客户端发送一个 EAPOL-LOGOFF 报文响应。 说明:EAP Code=4 表示失败认证的消息。
dot1x port-control auto interface vlan 1
no shutdown ip address 192.168.0.249 255.255.255.0 radius-server key start ip default-gateway 192.168.0.254 五、开始捕获认证客户端电脑与 S2126G 交换机交互报文时,sniffer 程序的设置准备:由于我 们只关心认证客户端电脑与 S2126G 交换机之间的报文,因此我们需要将其他电脑或交换机所发 的广播等报文过过滤掉,而交换机与认证客户端之间报文的交互,都是通过二层的 MAC 地址来 进行的,因此我们要设置 sniffer 程序的捕获条件,即定义“定义捕获数据过滤板”,设置过程 如下:
xvii
对 NAS 的上联端口进行双向的数据流进行捕获(如图所示),上连端口为连接上层交换机的端口, 此口为非受控口,一般选择交换机的第一个端口或最后一个端口。将此口镜像到交换机的其他 端口上,然后利用装有 Sniffer 软件的 PC 进行数据捕获。 步骤三:典型的交换机与 SAM 服务器认证交互的数据包分析: 交换机与 SAM 服务器进行认证交互分为以下四个阶段: 如图所示,将有四种类型的数据包:
在模式(Mode)中选择:包含(Include) 如图所示
xiv
在工作站(Station)选择:Station1 设置为 NAS 的 IP 地址,Statio2 设置为 Radius 服务器 IP 地址 如图所示:
xv
在数据传输方向(dir)上选择:双方向 如图所示:
xvi
步骤二:捕获端口的选择:
xviii
交换机(NAS)向 Radius 服务器发起接入请求(RADIUS Access-request) 数据包如图:
xix
该数据包由以下特征: 1.在 IP 的内容中,源地址(source address)为交换机(NAS)的 IP 地址,目的地址(destination address)为 SAM 服务器的 IP 地址。 在 UDP 的内容中,源端口(source port)为 1812,目的端口(destination port)为 1812。 在 Radius 的内容中,code 的值标识为 1,含义为接入请求。 在 Radius 的内容中,Identifier 的值为 1,含义为第一次接入请求。 具备以上特征的数据包认定为交换机(NAS)向 SAM 服务器发起的接入请求包(RADIUS Access-request)。 二.SAM 服务器向交换机(NAS)发送的接入询问数据包(RADIUS access-challenge) 数据包如图:
3、客户端 Suppliant 发送对前一个 EAP 请求数据帧进行响应,采用 EAP 数据帧的方式发送客 户端的请求信息(用户名)。
ix
说明:1、802.1X Packet Type =0 表示一个 EAP 数据包 2、EAP:Code= 2 表示一个 EAP 响应数据包 3、EAP:Message = “hhh ” 表示请求的用户名是 hhh。
1、 捕获认证客户端电脑(192.168.0.241/24)与 S2126G 交换机交互的报文;
2Biblioteka Baidu 捕获 S2126G 交换机与 SAMII 服务器(192.168.0.232)交互的报文;
三、所捕获得到的 sniffer 报文的文件命名:请尽可能采用一目了然的文件名,即从文件名即
可以大概知道该 sniffer 的报文的内容;同时,对于每个 sniffer 文件,请用一个 readme.txt
简短地说明,这样便于相关的人员能够更好地知道 sniffer 报文的内容;
四、交换机的配置:
show run
Building configuration...
Current configuration : 633 bytes
version 1.0
hostname Switch
radius-server host 192.168.0.232
viii
说明: 1)802.1X Version =1 表示当前的 802.1X 协议版本是 1。 2)802.1X Packet Type = 0 表示的是 802.1X, PACKET DATA 的内容是:一个 EAP 数据包。 3)EAP:Code=1 表示是一个请求数据包。 4)EAP Identifier=1 EAP 标识是 1。 5)EAP Data 后面跟随的是数据内容。
xii
NAS 到 SAMII 报文交互
步骤一:定义 Sniffer 捕获过滤表 在 Sniffer 的菜单中选择捕获项(Capture)中的定义过滤表(define fliter),如图:
在地址卡(Address)中进行定义,具体规则如下: 在地址类型(address)项中选择:IP
xiii
如图所示:
4、NAS 发起一个对客户端的 EAP-MD5 挑战信息数据包。
解释:其中在 EAP DATA 里面: 1) EAP Type = 4 表示的是 MD5_challenge type ,表示请求相关的 MD5 挑战认证的相
x
关信息。 5、客户端对 MD5_challenge 挑战信息进行响应,发送一个响应数据包。
xx
该数据包由以下特征: 1.在 IP 的内容中,源地址(source address)为 SAM 服务器的的 IP 地址,目的地址(destination address)为的交换机(NAS)IP 地址。 UDP 的内容中,源端口(source port)为 1812,目的端口(destination port)为 1812。 Radius 的内容中,code 的值标识为 11,含义为由 SAM 服务器向交换机发出的接入询问。 Radius 的内容中,Identifier 的值为 1,表示这个包是 SAM 服务器向交换机的第一个接入请求 包作出的响应。 具备以上特征的数据包认定为 SAM 服务器向交换机(NAS)发送的接入询问数据包(RADIUS access-challenge)。 三.交换机(NAS)向 SAM 服务器发起的第二次接入请求(RADIUS Access-request) 数据包如图:
Sniffer 抓包分数据包分析手册 前言
现在大家在一线解决故障过程中,经常会利用 sniffer 软件来分析网络中的数据包,从而 为故障的解决及相关的部门(如研发)提供更有说服力的数据。应该来说,sniffer 的包文对 于解决问题确实起到了很大的作用,但很多时候有些人所提供的 sniffer 数据包什么数据都抓, 很混,要花很大的力气才能对看明白该数据包,另外,很多时候没有给出相应的抓包的网络拓 扑图,数据包中的源端口、目的端口、IP 地址等方面的说明,这样不利于相关人员的分析和定 位。为此,我做个这方面的 case,供大家参考,望大家能够提供更有价值的数据给相关的人员。
1、EAP-PACKET:0000 0000 表示的是一个 EAP 数据包。 2、EAPOL-START:0000 0001 表示的是一个 EAPOL-START 帧。 3、EAPOL-LOGOFF:0000 0010 表示的是一个 EAPOL-LOGFF 帧。 4、EAPOL-KEY:0000 0010 表示的一个 EAPOL-KEY 帧。 2、NAS 设备发送一个对 EAPOL-START 响应 EAP 请求数据帧(请求相关信息)
xxi
该数据包有以下特征: 1. 在 IP 的内容中,源地址(source address)为交换机(NAS)的 IP 地址,目的地址(destination address)为 SAM 服务器的 IP 地址。 UDP 的内容中,源端口(source port)为 1812,目的端口(destination port)为 1812。 3. Radius 的内容中,code 的值标识为 1 Radius 的内容中,Identifier 的值为 2,说明该数据包为二次请求包。 具备以上特征的数据包认定为交换机(NAS)向 SAM 服务器发起的二次接入请求包(RADIUS Access-request)。 四.SAM 服务器向交换机(NAS)发送的接入允许包(RADIUS access-accept) 数据包如图:
十、分析捕获所得到的数据包: 1、首先分析客户端软件发起认证时的 802.1X EAPOL-START 数据包
vii
报文说明: A、 一般来说,由客户端发起一个带有组播地址为 0180-C200-0003 的 EAPOL-START 数据帧。 B、 在数据包中,整个 EAPOL 数据包封装在普通 802.3 以太网帧中。首先是一个普通以太网相 关的源 MAC 地址和目的 MAC 地址,其中目的 MAC 地址是 802.1X 协议申请了一个组播地址 0180-C200-0003。后面是 802.1X 协议包头内容:(1)802.1X 协议版本:0000 0001;(2)802.1X 报文类型:0000 0001 表示是一个 EAPOL-START 报文;(3)802.1X 报文长度为 0,表示是 PACKET BODY FIELD 没有实际内容,全部采用零来填充。(4)在 802.1X 报文中,版本字段长度是一个 字节,指明现今 EAPOL 的版本号,一般来说填充的是:0000 00001。(4)包类型字段(Packet Type):其中长度为一个字节,表示的正在传输包的类型,主要有以下几种数据类型:
iii
iv
v
六、单击 sniffer 软件左上角的“开始”按键,开始捕获数据: 七、运行客户端软件,开始认证; 八、停止捕获,则选择“捕获-Æ停止并显示”:
vi
九、保存捕获所得到的数据包文件,SNIFFER 主菜单 FILE 选项的选择 SAVE AS,选择一个保存 位置,输入保存的文件名称,保存文件,此处,所采用的文件名为:pc_nas(注:在取文件名 时,请尽可能采用一目了然的文件名,这样便于分析)
i
认证客户端与 NAS 设备(交换机)报文交互
一、捕获数据包拓扑图:
SAMII 服务器 192.168.0.232/24 MAC:
F0/2 F0/16
S2126G 交换机 192.168.0.244/24 MAC:00D0-F8EF-99DC
二、捕获数据包的目的:
认证客户端电脑 192.168.0.241/16 MAC:0040-050c-0AC4
aaa authentication dot1x
aaa accounting server 192.168.0.232
ii
aaa accounting enable secret level 1 5 %2,1u_;C34-8U0<D4'.tj9=GQ+/7R:>H enable secret level 15 5 %2-aeh`@34'dfimL4t{bcknAQ7zyglow interface fastEthernet 0/16
6、NAS 发送一个成功的消息给认证客户端,并且把相关 NAS 数据逻辑端口给打开。
说明:EAP Code = 3 表示成功认证的数据包。 7、 断开客户端的连接时,客户端发送一个 EAPOL-LOGOFF 报文给 NAS
xi
8、 NAS 发送一个失败响应数据包对客户端发送一个 EAPOL-LOGOFF 报文响应。 说明:EAP Code=4 表示失败认证的消息。
dot1x port-control auto interface vlan 1
no shutdown ip address 192.168.0.249 255.255.255.0 radius-server key start ip default-gateway 192.168.0.254 五、开始捕获认证客户端电脑与 S2126G 交换机交互报文时,sniffer 程序的设置准备:由于我 们只关心认证客户端电脑与 S2126G 交换机之间的报文,因此我们需要将其他电脑或交换机所发 的广播等报文过过滤掉,而交换机与认证客户端之间报文的交互,都是通过二层的 MAC 地址来 进行的,因此我们要设置 sniffer 程序的捕获条件,即定义“定义捕获数据过滤板”,设置过程 如下:
xvii
对 NAS 的上联端口进行双向的数据流进行捕获(如图所示),上连端口为连接上层交换机的端口, 此口为非受控口,一般选择交换机的第一个端口或最后一个端口。将此口镜像到交换机的其他 端口上,然后利用装有 Sniffer 软件的 PC 进行数据捕获。 步骤三:典型的交换机与 SAM 服务器认证交互的数据包分析: 交换机与 SAM 服务器进行认证交互分为以下四个阶段: 如图所示,将有四种类型的数据包:
在模式(Mode)中选择:包含(Include) 如图所示
xiv
在工作站(Station)选择:Station1 设置为 NAS 的 IP 地址,Statio2 设置为 Radius 服务器 IP 地址 如图所示:
xv
在数据传输方向(dir)上选择:双方向 如图所示:
xvi
步骤二:捕获端口的选择:
xviii
交换机(NAS)向 Radius 服务器发起接入请求(RADIUS Access-request) 数据包如图:
xix
该数据包由以下特征: 1.在 IP 的内容中,源地址(source address)为交换机(NAS)的 IP 地址,目的地址(destination address)为 SAM 服务器的 IP 地址。 在 UDP 的内容中,源端口(source port)为 1812,目的端口(destination port)为 1812。 在 Radius 的内容中,code 的值标识为 1,含义为接入请求。 在 Radius 的内容中,Identifier 的值为 1,含义为第一次接入请求。 具备以上特征的数据包认定为交换机(NAS)向 SAM 服务器发起的接入请求包(RADIUS Access-request)。 二.SAM 服务器向交换机(NAS)发送的接入询问数据包(RADIUS access-challenge) 数据包如图: