Forigate 防火墙的抓包及 Msn messenger 包分析

Forigate 防护墙有专门的记录设备，不过为了省钱，我们没去买。不过我们可以用ssh 把输出保存到本地慢慢分析，格式
ssh admin@[firewall ip] "diagnose sniffer packet [your wan port.eg:port2] 'tcp and port 1863' 3 " > [logfile]
例如：
ssh admin@10.10.79.1 "diagnose sniffer packet port4 'tcp and port 1863' 3 " > today.log
10.10.79.1 是防火墙ip port4是外网端口， 1863是msn messenger 使用的tcp 端口，最后把结果抓到文件 today.log

抓下来的文件片段如下：

Fortigate-1000A # nr=8192,fr=1664,b_nr=4096,pg=4096
1.497684 10.10.72.106.5527 -> 64.4.34.81.1863: psh 607135265 ack 1208056501
0x0000 0009 0f61 0747 000b 5fcd 2e00 0800 4500

a.G.._

..E.
0x0010 00ac 0295 4000 7f06 43ee 0a0a 486a 4004

Hj@.
0x0020 2251 1597 0747 2430 2621 4801 7ab5 5018 "Q

G$0&!H.z.P.
0x0030 ffff a6ef 0000 5555 5820 3635 3130 2031

UUX.6510.1
0x0040     3138 0d0a 3c44 6174 613e 3c50 534d 3e3c    18..<Data><PSM><
0x0050     2f50 534d 3e3c 4375 7272 656e 744d 6564    /PSM><CurrentMed
0x0060     6961 3e3c 2f43 7572 7265 6e74 4d65 6469    ia></CurrentMedi
0x0070     613e 3c4d 6163 6869 6e65 4775 6964 3e7b    a><MachineGuid>{
0x0080     4446 3139 3630 4435 2d37 4232 352d 3444    DF1960D5-7B25-4D
0x0090     3630 2d39 3044 322d 3430 3834 3131 3430    60-90D2-40841140
0x00a0     3939 3038 7d3c 2f4d 6163 6869 6e65 4775    9908}</MachineGu
0x00b0     6964 3e3c 2f44 6174 613e                   id></Data>

1.717049 64.4.34.128.1863 -> 10.10.72.231.1729: psh 3029948233 ack 4074959534
0x0000     0000 0c07 ac4f 0009 0f61 0747 0800 4500

..O

a.G..E.
0x0010 00bf 21ea 4000 7106 31da 4004 2280 0a0a ..!.@.q.1.@."

0x0020 48e7 0747 06c1 b499 5749 f2e2 f2ae 5018 H..G

.WI

.P.
0x0030 feac 0c89 0000 5542 5820 7979 666f 7831

UBX.yyfox1
0x0040     3937 3540 686f 746d 6169 6c2e 636f 6d20    975@hotmail.com.
0x0050     3120 3131 380d 0a3c 4461 7461 3e3c 5053    1.118..<Data><PS
0x0060     4d3e 3c2f 5053 4d3e 3c43 7572 7265 6e74    M></PSM><Current
0x0070     4d65 6469 613e 3c2f 4375 7272 656e 744d    Media></CurrentM
0x0080     6564 6961 3e3c 4d61 6368 696e 6547 7569    edia><MachineGui
0x0090     643e 7b44 4631 3936 3044 352d 3742 3235    d>{DF1960D5-7B25
0x00a0     2d34 4436 302d 3930 4432 2d34 3038 3431    -4D60-90D2-40841
0x00b0     3134 3039 3930 387d 3c2f 4d61 6368 696e    1409908}</Machin
0x00c0     6547 7569 643e 3c2f 4461 7461 3e           eGuid></Data>

1.725733 64.4.34.81.1863 -> 10.10.72.106.5527: psh 1208056501 ack 607135397
0x0000     0000 0c07 ac4f 0009 0f61 0747 0800 4500

..O

a.G..E.
0x0010     0034 fa12 4000 6f06 5ce8 4004 2251 0a0a    .4..@.o.\.@."Q..
0x0020     486a 0747 1597 4801 7ab5 2430 26a5 5018    Hj.G..H.z.$0&.P.
0x0030     facc 93ab 0000 5555 5820 3635 3130 2030

UUX.6510.0
0x0040 0d0a ..

1.727768 207.46.110.23.1863 -> 10.10.72.111.1776: psh 4237815546 ack 191619292
0x0000 0000 0c07 ac4f 0009 0f61 0747 0800 4500

..O

a.G..E.
0x0010 00bf 088b 4000 6f06 72ef cf2e 6e17 0a0a

.@.o.r

0x0020 486f 0747 06f0 fc97 eefa 0b6b e0dc 5018 Ho.G

.k..P.
0x0030 fb6d 4ee9 0000 5542 5820 7979 666f 7831 .mN

UBX.yyfox1
0x0040 3937 3540 686f 746d 6169 6c2e 636f 6d20 975@hotmail.com.
0x0050 3120 3131 380d 0a3c 4461 7461 3e3c 5053 1.118..<Data><PS

粗略看下结果，绝大多数是协议控制包，和msn机器人发的消息报，我统计下来平均每10000个包里面，实际消息包不到100个，即不到1％，所以需要写脚本，刷选出来消息。

为了分析TCP报，可以使用dpkt这个python moudle。通过处理结果文件，将文本格式的包数据，转换成实际的二进制数组，传给dpkt，通过它生成结构化的以太网包对象。

例如一个以太网包 pkt，其pkt.src和pkt.dest分别为原和目的端mac地址，其pkt.data为所包涵的ip包.所以pkt.data.src和pkt.data.dest就是原和目的端ip地址。pkt.data.data为ip包所包涵的tcp包,pkt.data.data.dport和pkt.data.data.sport为原和目的端口。实际的协议层数据为pkt.data.data.data,通过对捕捉到的包简单分析，有消息的包都包涵字符“Content-Type: text/plain”，所以可以写个简单的正则表达式来找出包涵消息的报文。

原本打算发出代码和示例的，因为代码是赶工的，写的很简陋，纯粹 it just work这种的，就不拿出来献丑了。打算重新整理一下，再做个界面，希望能抓紧时间尽快做好吧。

posted on 2009-08-10 12:11 zarra 阅读(632) 评论(1) 编辑收藏

常用链接

留言簿(1)

随笔档案

文章档案

相册

搜索

最新评论

阅读排行榜

评论排行榜


只有注册用户登录后才能发表评论。




网站导航: 博客园 IT新闻知识库 C++博客博问管理