zarra
当你不能够再拥有 你唯一可以做的 就是令自己不要忘记
BlogJava
首页
新随笔
联系
聚合
管理
随笔 - 67 文章 - 79 trackbacks - 0
<
2009年8月
>
日
一
二
三
四
五
六
26
27
28
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1
2
3
4
5
常用链接
我的随笔
我的文章
我的评论
我的参与
最新评论
留言簿
(1)
给我留言
查看公开留言
查看私人留言
随笔档案
2010年8月 (1)
2010年1月 (1)
2009年11月 (3)
2009年9月 (3)
2009年8月 (2)
2009年7月 (4)
2009年6月 (2)
2009年5月 (1)
2009年4月 (4)
2009年3月 (5)
2009年2月 (1)
2009年1月 (3)
2008年12月 (1)
2008年11月 (5)
2008年9月 (1)
2008年8月 (1)
2008年7月 (3)
2008年6月 (6)
2008年5月 (3)
2008年4月 (3)
2008年3月 (1)
2008年2月 (1)
2008年1月 (2)
2007年12月 (2)
2007年10月 (3)
2007年9月 (2)
文章档案
2009年11月 (1)
2009年8月 (1)
2009年7月 (1)
2007年9月 (1)
相册
latex
猫
搜索
最新评论
1. re: Python中的ord和chr
新手,刚看到这两个函数,特地搜下
--有点肉
2. re: Dicom图像显示Sample
您好 你的问题解决了吗 我现在也遇到这样的问题 想请教一下
--liyj
3. re: [搬运]wget 整站下载[未登录]
评论内容较长,点击标题查看
--李
4. re: [搬运]wget 整站下载[未登录]
评论内容较长,点击标题查看
--李
5. re: 从Erlang说开去
@zarra
读作 一郎, 或者 二郎,
没有什么人读作 饿狼把.
--zhw
阅读排行榜
1. Python中的ord和chr(4152)
2. linux下使用dd 制作磁盘镜像(3193)
3. 使用Webkit和xml、xslt 实现html风格的RichEdit试验(2398)
4. Qt for S60 Nokia的反击(1893)
5. mencoder使用范例(1740)
评论排行榜
1. scim dbus前端(17)
2. java的视频捕捉 (6)
3. 使用Webkit和xml、xslt 实现html风格的RichEdit试验(4)
4. Qt for S60 Nokia的反击(3)
5. 因为这是我们的祖国(3)
Forigate 防火墙的抓包 及 Msn messenger 包分析
Forigate 防护墙有专门的记录设备,不过为了省钱,我们没去买。不过我们可以用ssh 把输出保存到本地慢慢分析,格式
ssh admin@[firewall ip] "diagnose sniffer packet [your wan port.eg:port2] 'tcp and port 1863' 3 " > [logfile]
例如:
ssh admin@10.10.79.1 "diagnose sniffer packet port4 'tcp and port 1863' 3 " > today.log
10.10.79.1 是防火墙ip port4是外网端口, 1863是msn messenger 使用的tcp 端口 ,最后把结果抓到文件 today.log
抓下来的文件片段如下:
Fortigate-1000A # nr
=
8192
,
fr
=
1664
,
b_nr
=
4096
,
pg
=
4096
1.497684
10.10.72.106.5527
->
64.4.34.81.1863
: psh
607135265
ack
1208056501
0x0000
0009
0f61
0747
000b 5fcd
2e00
0800
4500
a.G.._
..E.
0x0010 00ac
0295
4000
7f06 43ee 0a0a 486a
4004
.@
C
Hj@.
0x0020
2251
1597
0747
2430
2621
4801
7ab5
5018
"
Q
G$0&!H.z.P.
0x0030 ffff a6ef 0000 5555 5820 3635 3130 2031
UUX.6510.1
0x0040 3138 0d0a 3c44 6174 613e 3c50 534d 3e3c 18..<Data><PSM><
0x0050 2f50 534d 3e3c 4375 7272 656e 744d 6564 /PSM><CurrentMed
0x0060 6961 3e3c 2f43 7572 7265 6e74 4d65 6469 ia></CurrentMedi
0x0070 613e 3c4d 6163 6869 6e65 4775 6964 3e7b a><MachineGuid>{
0x0080 4446 3139 3630 4435 2d37 4232 352d 3444 DF1960D5-7B25-4D
0x0090 3630 2d39 3044 322d 3430 3834 3131 3430 60-90D2-40841140
0x00a0 3939 3038 7d3c 2f4d 6163 6869 6e65 4775 9908}</MachineGu
0x00b0 6964 3e3c 2f44 6174 613e id></Data>
1.717049 64.4.34.128.1863 -> 10.10.72.231.1729: psh 3029948233 ack 4074959534
0x0000 0000 0c07 ac4f 0009 0f61 0747 0800 4500
..O
a.G..E.
0x0010 00bf 21ea 4000 7106 31da 4004 2280 0a0a ..!.@.q.1.@.
"
0x0020
48e7
0747
06c1 b499
5749
f2e2 f2ae
5018
H..G
.WI
.P.
0x0030 feac 0c89
0000
5542
5820
7979
666f
7831
UBX.yyfox1
0x0040
3937
3540
686f 746d
6169
6c2e 636f 6d20
975
@hotmail.com.
0x0050
3120
3131
380d 0a3c
4461
7461
3e3c
5053
1.118
..<Data><PS
0x0060 4d3e 3c2f
5053
4d3e 3c43
7572
7265
6e74
M></PSM><Current
0x0070 4d65
6469
613e 3c2f
4375
7272
656e 744d Media></CurrentM
0x0080
6564
6961
3e3c 4d61
6368
696e
6547
7569
edia><MachineGui
0x0090 643e 7b44
4631
3936
3044
352d
3742
3235
d>{DF1960D5-7B25
0x00a0 2d34
4436
302d
3930
4432
2d34
3038
3431
-4D60-90D2-
40841
0x00b0
3134
3039
3930
387d 3c2f 4d61
6368
696e
1409908
}</Machin
0x00c0
6547
7569
643e 3c2f
4461
7461
3e eGuid></Data>
1.725733
64.4.34.81.1863
->
10.10.72.106.5527
: psh
1208056501
ack
607135397
0x0000
0000
0c07 ac4f
0009
0f61
0747
0800
4500
..O
a.G..E.
0x0010
0034
fa12
4000
6f06 5ce8
4004
2251
0a0a
.4
..@.o.\.@.
"
Q..
0x0020 486a 0747 1597 4801 7ab5 2430 26a5 5018 Hj.G..H.z.$0&.P.
0x0030 facc 93ab 0000 5555 5820 3635 3130 2030
UUX.6510.0
0x0040 0d0a ..
1.727768 207.46.110.23.1863 -> 10.10.72.111.1776: psh 4237815546 ack 191619292
0x0000 0000 0c07 ac4f 0009 0f61 0747 0800 4500
..O
a.G..E.
0x0010 00bf 088b 4000 6f06 72ef cf2e 6e17 0a0a
.@.o.r
n
0x0020 486f 0747 06f0 fc97 eefa 0b6b e0dc 5018 Ho.G
.k..P.
0x0030 fb6d 4ee9 0000 5542 5820 7979 666f 7831 .mN
UBX.yyfox1
0x0040 3937 3540 686f 746d 6169 6c2e 636f 6d20 975@hotmail.com.
0x0050 3120 3131 380d 0a3c 4461 7461 3e3c 5053 1.118..<Data><PS
粗略看下 结果,绝大多数是协议控制包,和msn机器人发的消息报,我统计下来 平均 每10000个包里面,实际消息包不到100个,即不到1%,所以需要写脚本,刷选出来消息。
为了分析TCP报,可以使用dpkt这个python moudle。通过处理结果文件,将文本格式的包数据,转换成实际的二进制数组,传给dpkt,通过它生成结构化的以太网包对象。
例如一个以太网包 pkt,其pkt.src和pkt.dest分别为原和目的端mac地址,其pkt.data为所包涵的ip包.所以pkt.data.src和pkt.data.dest就是原和目的端ip地址。pkt.data.data为ip包所包涵的tcp包,pkt.data.data.dport和pkt.data.data.sport为原和目的端口。实际的协议层数据为pkt.data.data.data,通过对捕捉到的包简单分析,有消息的包都包涵 字符“Content-Type: text/plain”,所以可以写个简单的正则表达式来找出包涵消息的报文。
原本打算发出代码和示例的,因为代码是赶工的,写的很简陋 ,纯粹 it just work这种的,就不拿出来献丑了。打算重新整理一下,再做个界面,希望能抓紧时间尽快做好吧。
posted on 2009-08-10 12:11
zarra
阅读(632)
评论(1)
编辑
收藏
FeedBack:
#
re: Forigate 防火墙的抓包 及 Msn messenger 包分析[未登录]
2009-08-11 18:15
apple
拿我当小白鼠~~~
回复
更多评论
新用户注册
刷新评论列表
只有注册用户
登录
后才能发表评论。
网站导航:
博客园
IT新闻
Chat2DB
C++博客
博问
管理