Panabit的协议识别都是基于数据包的特征,因此捕获数据包样本是我们进行识别第一步要做的事情。下面就和大家说一下如何捕获网络应用的数据包。
到百度搜索wireshark,很容易就能找到,把软件下载并安装好。
打开wireshark
根据上面的图,我们把装有wireshark的客户机与em2直连,在Panabit里将手机(假设手机的IP是192.168.0.216)的数据镜像到em2接口,这样我们就能抓到手机程序的数据包了。
这个方法是抓取无法安装wireshark的设备数据包的通用方法。
Panabit还内置了一些命令,可以将Panabit内部的数据镜像出来
1 查找WAN新路的ID
使用floweye nat listproxy命令可以列出当前系统的所有WAN线路或LAN接口,其中第1列是线路的类型,第2列是线路的ID,第3列是线路的名称
2.镜像WAN线路的数据
floweye nat config dump_proxy=wan线路的ID号 dump_if=网卡名
floweye nat config dump_proxy=4 dump_if=em2名这条命令的作用就是将ID号为4的wan线路数据镜像到em2上
3.镜像PPPOE拨号控制包
floweye pppoe config dump_proxy=4 dump_if=em2名这条命令的作用就是将ID号为4的PPPOE拨号线路数据镜像到em2上
这个命令和上面的nat config命令的区别是,pppoe config配置的只抓PPPOE拨号控制包,nat config配置的只抓非PPPOE拨号的包,所以两者之间可以互补,
因为偶尔会出现拨号不成功的情况,所以只抓PPPOE拨号控制包就比较重要,对于分析PPPOE拨号不成功,用pppoe config命令配置抓包比较合适。
4.镜像PPPOE服务器与radius通讯的数据
floweye radius config dump_if=emX
floweye radius stat可以看到dump_pktnum这个计数器,表示有多少包镜像出去了
5. DPI 状态
panaos#floweye dpi stat
watch_kad=1
chkudp_pktnum=8
tmpnode_ttl=5
xping_enable=1
gametrack_enable=1
thunder_enable=0
p2p_sntrack=0
nettv_sntrack=0
check_httphdr=1
check_httpres=1
track_httproxy=0
ctx_ttl=20
watcher_colls=0
key_stat=205/151[8/32]
bdyy_enable=1
bdyy_ttl=180
bdyy_minflow=3
bdyy_objpoolsz=256
bdyy_flowpoolsz=512
bdyy_objcnt=0
bdyy_flowcnt=0
bdyy_objfail=0
bdyy_objpanic=0
bdyy_flowfail=0
bdyy_flowidentify=0
bdyy_hits=0
dpiobj_poolsz=3276
dpictx_stat=0/0[cnt/max]
watcher_stat=0/1[cnt/max]
dpiobj_last=0
panic_dpiobj=0/0/0/0/0/0[0/1/2/3/4/5]
panaos#floweye if em bridge policy app agp flow node port util xping ipobj table key appobj chart vlink conlimit logger jflow ipverify urlfilter nat skipsyn dns dpi ipmac usrinfo webauth gtp route ipfrag module hooker l2route pppoe pppoesvr pppoeippool pppoeacct rtentry radius ixcache dhcpsvr dhcpsta dhcplease icmpproxy clntpxy rateobj syslog hostinfo natevent