2、利用别人的设备,比如网络探针之类的设备进行 *** 作。
3,如是家庭的普通路由器,顶多只能抓取本身连接的数据包,或者与手机通信的数据包。这种情况除非会分析数据包,否则就算抓到也没有用。或者有专门分析数据包的软件。最近浏览cisco网站,注意到了cisco ios 12415T系列中推出了新的FPM技术。我先来简单的介绍一下cisco fpm技术。fpm技术在cisco iso 1244T中已经推出,在cisco iso 1244T之前,fpm能够检测IP包的前256byte中的最多32byte的数据,检测出与配置相符合的数据,你可以选择丢弃或者允许通过或者 log,当然还有其他功能,这里不一一细表。而在cisco iso 12415T中cisco强化了fpm的功能,使其能检测整个IP数据包(最大1500byte)中最多256byte的数据。这实际上等于在 cisco router上安装了一个sniffer软件,然后通过配置决定什么数据能够被允许通过,什么数据要丢弃。
cisco的推出fpm技术的初衷是通过fpm技术来强化网络安全,封堵网络病毒及各种攻击。但是最近被用户的要求搞得头昏脑胀得我,突然想到是不是能用fpm来封堵pplive呢,于是我开始了长达1各星期的测试。
首先我要向编写pplive的程序员们表示最高的敬意,你们的水平的确非常高,pplive很难封堵,它通过各种方法,削尖了脑袋,通过各种方法来突破封堵。但凡事都有规律,有特征,既然pplive有特征,而fpm技术能抓住每个Ip包中的每一个bit,那我就有方法搞定你。
下面来说一下pplive的基本工作原理:
pplive是一款p2p的视频播放软件,当你选中一个节目的时候,pplive就向pplive server提出请求,从pplive server下载正在收看这个节目的用户的IP地址列表,下载后pplive软件便与这些用户建立udp或者是tcp连接,然后就是p2p了。
要封堵pplive最简单的方式就是阻止pplive从pplive server下载用户列表,没有用户的IP地址列表,就无法建立p2p连接。
pplive登陆pplive server有两种方式:
一用udp 8000端口进行登陆
这种登陆方式最简单的封堵方法就是用access-list,方式如下:
access-list 199 deny udp any any eq 8000
int f0/0
ip access-group 199 in
但是,对这种方式我并不满意,因为除了pplive使用udp8000端口以外,还有好多程序使用udp800端口,比如说QQ。
使用sniffer软件反复分析,我找到了udp8000包的特征。
1ip包长度 97byte
2udp目的端口 8000
3在ip包的第28位起包含4个byte的特征字段:E9030201
4在ip包的第32位起包含4个byte的特征字段:98AB0102
变换成cisco的配置文件就是:
class-map type access-control match-all pplive-udp8000-request
match field UDP dest-port eq 8000
match field IP length eq 97
match start l3-start offset 28 size 4 eq 0xE9030201
match start l3-start offset 32 size 4 eq 0x98AB0102
注意:上面offset的数值要注意,如果是ip包中的第一个byte位,则offset为0,第二个byte位,则offset为1,offset是从0开始计数而不是1,这个问题我有教训,cisco网站上也没有写明,提醒一下大家。
OK,udp8000的请求包的问题解决了
二使用tcp 80端口进行登陆,也就是用>1:电脑插到路由器的一个接口上,安装wireshark或者其他抓包工具。
2:在2600上配置端口映射,将你怀疑的端口映射到电脑连接的接口上,然后抓包。
3:看到大量的TCP,UDP报文的,就是这个机器在下载东西,然后根据TCP,UDP报文的IP地址,很容易判断出是哪个机器。
这个是最科学的方法。
还有一种,不知道2600是否支持端口计数。不停的show一个个端口的端口计数,计数飞速增加的,嫌疑最大。不过还是不容易判断端口下是哪台机器。首先,要在路由器上这样做,需要路由器支持这个功能。如果路由器本身没有提供便利的管理功能,就需要自己搭建环境。如果抓wan口,可以用把路由器的wan口连接上一台傻hub或者带有端口镜像功能的交换机,然后把wan的上行线路连接在这台交换机上,工作站如果还需要呆在lan侧的话就增加一块网卡,同时跨在wan侧和lan侧。用sniffer分析wan口流量。
如果抓lan口,办法也差不多,把需要监控的lan口上接一台带有端口镜像功能的交换机或者傻hub,用同样的手段分析这个好像真不行。。。Cisco packet tracer 是基于动画的。也就是说并不是真正的会产生数据包出来。只是你敲一个命令,他给你显示成一种状态。不是GNS3,或者小凡帽。你想试验抓包,还是用基于IOS的模拟器吧。GNS3就可以了。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)