Panabit镜像功能配合wireshark抓包的方法

Panabit的协议识别都是基于数据包的特征,因此捕获数据包样本是我们进行识别第一步要做的事情。下面就和大家说一下如何捕获网络应用的数据包。

到百度搜索wireshark,很容易就能找到,把软件下载并安装好。
打开wireshark
Panabit镜像功能配合wireshark抓包的方法-风君雪科技博客 

设置wireshark
点击Capture–>options
Panabit镜像功能配合wireshark抓包的方法-风君雪科技博客 
Panabit镜像功能配合wireshark抓包的方法-风君雪科技博客 

1.选择网卡,wireshark将捕获这个网卡所有收发的数据包
2.设置过滤规则,比如我不像捕获arp类型的数据包就填上“not arp”,填入的内容符合语法这一栏会是绿色,否则是红色。例如如果我填的是“no arp”那么这栏会是红色,“no”不符合语法
3.star,开始抓包
抓包过程中常用到的按键
Panabit镜像功能配合wireshark抓包的方法-风君雪科技博客 

上图红色数字对应按钮的功能:
1,开始抓包
2,停止抓包
3,重新抓包
4,保存数据包
抓到我们想要的数据后就点停止抓包,然后保存。一般保存为pcap格式。

在抓某个网络应用的数据包方法也非常重要。首先,在抓包之前,要将电脑上的一些无关的网络应用全部关闭,从而保证wireshark抓到的数据都是我们想要抓的应用产生的;第二,要抓到应用完整的数据,要先打开wireshark开始抓包后,再打开我们要抓的网络应用程序。比如,我要抓优酷某个视频,我会先用一个TXT文件记录下这个视频的链接,然后打开wireshark开始抓包,再在IE里输入记录下的链接,这样抓到的包就是这个链接完整的数据了。而不是等到链接上的视频开始播放时再打开wireshark抓包。
抓windows下的应用我们,利用上面的方法就能轻松的抓到想要抓的数据包,但是如果我们要抓的并不是windows的应用呢,Wireshark不能安装在windows以外设备上,比如手机、平板电脑、电视机顶盒等等。
遇到这样的情况我们就需要将我们要抓的数据镜像出来,再用wireshark来抓包。下面就介绍用Panabit镜像功能抓包的方法
接线方式
Panabit镜像功能配合wireshark抓包的方法-风君雪科技博客 

Panabit设置
Panabit镜像功能配合wireshark抓包的方法-风君雪科技博客 
Panabit镜像功能配合wireshark抓包的方法-风君雪科技博客 

根据上面的图,我们把装有wireshark的客户机与em2直连,在Panabit里将手机(假设手机的IP是192.168.0.216)的数据镜像到em2接口,这样我们就能抓到手机程序的数据包了。
这个方法是抓取无法安装wireshark的设备数据包的通用方法。
Panabit还内置了一些命令,可以将Panabit内部的数据镜像出来 

1 查找WAN新路的ID
使用floweye nat listproxy命令可以列出当前系统的所有WAN线路或LAN接口,其中第1列是线路的类型,第2列是线路的ID,第3列是线路的名称

2.镜像WAN线路的数据
floweye nat config dump_proxy=wan线路的ID号  dump_if=网卡名  
floweye nat config dump_proxy=4  dump_if=em2名这条命令的作用就是将ID号为4的wan线路数据镜像到em2上

3.镜像PPPOE拨号控制包
floweye pppoe config dump_proxy=4  dump_if=em2名这条命令的作用就是将ID号为4的PPPOE拨号线路数据镜像到em2上
这个命令和上面的nat config命令的区别是,pppoe config配置的只抓PPPOE拨号控制包,nat config配置的只抓非PPPOE拨号的包,所以两者之间可以互补,
因为偶尔会出现拨号不成功的情况,所以只抓PPPOE拨号控制包就比较重要,对于分析PPPOE拨号不成功,用pppoe config命令配置抓包比较合适。

4.镜像PPPOE服务器与radius通讯的数据
floweye radius config dump_if=emX
floweye radius stat可以看到dump_pktnum这个计数器,表示有多少包镜像出去了

5. DPI 状态
panaos#floweye dpi stat
watch_kad=1
chkudp_pktnum=8
tmpnode_ttl=5
xping_enable=1
gametrack_enable=1
thunder_enable=0
p2p_sntrack=0
nettv_sntrack=0
check_httphdr=1
check_httpres=1
track_httproxy=0
ctx_ttl=20
watcher_colls=0
key_stat=205/151[8/32]
bdyy_enable=1
bdyy_ttl=180
bdyy_minflow=3
bdyy_objpoolsz=256
bdyy_flowpoolsz=512
bdyy_objcnt=0
bdyy_flowcnt=0
bdyy_objfail=0
bdyy_objpanic=0
bdyy_flowfail=0
bdyy_flowidentify=0
bdyy_hits=0
dpiobj_poolsz=3276
dpictx_stat=0/0[cnt/max]
watcher_stat=0/1[cnt/max]
dpiobj_last=0
panic_dpiobj=0/0/0/0/0/0[0/1/2/3/4/5]

panaos#floweye
if
em
bridge
policy
app
agp
flow
node
port
util
xping
ipobj
table
key
appobj
chart
vlink
conlimit
logger
jflow
ipverify
urlfilter
nat
skipsyn
dns
dpi
ipmac
usrinfo
webauth
gtp
route
ipfrag
module
hooker
l2route
pppoe
pppoesvr
pppoeippool
pppoeacct
rtentry
radius
ixcache
dhcpsvr
dhcpsta
dhcplease
icmpproxy
clntpxy
rateobj
syslog
hostinfo
natevent