[Wireshark]交换机设置镜像端口并使用Wireshark抓包异常流量分析病毒种类

最新推荐文章于 2025-04-14 08:55:23 发布
原创 最新推荐文章于 2025-04-14 08:55:23 发布
· 1.5w 阅读 · 56 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#wireshark #勒索病毒 #流量分析

前言

最近多家用户报告相继中毒,通过对区级用户网络抓包分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓包流量通过Wireshark分析几种目前常见的病毒类型。
端口镜像抓包原理

0x00 华为交换机镜像设置端口抓包

1、 全局模式下指定一个镜像端口

observe-port 1 interface g 0/0/4

2、指定一个监测端口

int g 0/0/5
port-mirroring to observe-port 1 outbound

inbound是服务器到内交换机的流量,outbound是交换机到服务器的流量

0x01 H3C 交换机配置

Mirroring group 1 local
Mirroring port g1/0/1(镜像端口)

0x02

1、在指定的端口上接入一台PC或者服务器,此网络口不做IP设置
2、Wireshark抓包

0x03 虚拟机、VLAN 设置镜像端口

1、在交换机上设置一个监测端口

Monitor port(监听口) //H3C交换机 配置

observe-port 1 interface G 0/0/4  //华为交换机配置

2、根据IP地址判断其所在的VLAN,在VLAN下配置

int vlan 20
mirroring to observe-port 1 inbound

3、在指定的端口上接入一台PC或者服务器,此网络口不做IP设置

4、Wireshark抓包

0x04 Wireshark 端口抓包设置

捕获-选项:
①抓包的端口开启混杂,缓存100
在这里插入图片描述
②设置路径和报文大小

最低0.47元/天 解锁文章
H3C交换机如何配置本地端口镜像在PC上使用Wireshake抓包
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
08-16 3907
Win 10 专业版。
一站式讲解Wireshark网络抓包分析的若干场景、过滤条件及分析方法
热门推荐
dvlinker的技术专栏
10-17 5万+
本文详细讲解常用的抓包工具、抓包分析的网络场景、分析抓包时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
交换机端口镜像及Wireshake抓包
qq_40170041的博客
04-29 2万+
1、首先配置交换机,先将交换机断开与其他交换机连接的网线,保证电脑端只与这一个交换机通信 2、之前配置过交换机的,如果记得IP,可以直接通过交换机的IP进行登录 3、如果忘记交换机的IP,则可以重置,交换机上有一个reset按键,重置后,我的交换机的IP是192.168.1.199,别的交换机重置后的IP可能不一样,需要去查一下 重置后,这时就要配置电脑的IP,保证能和交换机通信 这样就能够和交换机通信了,因为在同一网段,也就是同一个局域网 3、登录交换机 因为我的交换机IP被我修改过了,所以我用这个I
wireshark抓包镜像端口,观察端口
最新发布
2401_87639035的博客
04-14 1021
用户可以通过配置镜像功能,将网络中某个接口(镜像端口)接收或发送的报文,复制一份到指定接口(观测端口),然后发送到和观测端口直连的报文分析设备上。(其中both表示接收来去的数据包,inbound表示只把进入0/0/0端口的数据复制到2/0/0端口中,outbound表示只把从0/0/0端口发出去的数据复制到2/0/0端口中)流镜像:指将镜像与流分类相结合,只复制满足特定条件的报文,过滤报文分析设备不关心的报文,为报文分析提供更精细的控制,提高报文分析设备的工作效率。镜像接口:镜像接口是被观察的接口。
最佳实践--如何在交换机上实现抓包之端口镜像
07-23
最佳实践--如何在交换机上实现抓包之端口镜像
如何用抓包工具wireshark交换机其中一端口进行抓包分析
北冥有鱼 的专栏
04-16 2万+
用39系列交换机镜像抓包配置方法: 一、3900端口镜像配置 步骤一 :[Quidway]mirroring-group 1 local 说明:创建端口镜像组 步骤二:[Quidway]mirroring-group 1 monitor-port Ethernet 1/0/22 说明:创建镜像目的端口 22 备注将电脑的网线接在交换机22端口上面 最好我们以后要求交换机的22端口为镜像端口 (定一...
【工具使用类】交换机+WireShark网络抓包
好记性不如烂笔头
02-06 2138
无线智能设备透传数据给服务器,接收不到服务端回包数据。通过抓网络包分析,确认分析服务端是否有回数据包到路由器。
清除交换机配置、配置镜像端口以及Wireshark抓包(以Huawei S5720为例)
m0_51770049的博客
06-16 7521
办公室有一台拆下后闲置的Huawei S5720-28P-PWR-LI-AC二层交换机。昨天听闻同学说ping交换机管理地址时,长ping大包会有丢包现象(字节为8000时,每10个包左右丢包一个,字节为6000时,每15个包左右丢包一个,字节为5000时没有丢包现象)。尝试复原该现象通过抓包分析相应原因。本篇文章仅笔者做记录参考,学术用意不大~ 配置端口镜像: 注意,如上配置为“将Gigabitethernet 0/0/1设置为观察端口”即在该接口下可以抓取到Gigabitethernet
使用Wireshark交换机镜像端口进行网络包抓取教程
本文档提供了一个关于如何使用交换机进行网络抓包的入门教程,主要涉及交换机的连接示意图、Wireshark抓包软件的使用以及有效性判断方法。 交换机连接配置是网络抓包的基础,它涉及到端口镜像功能。在交换机配置中...
Wireshake抓取镜像端口数据包
hansem的专栏
04-14 1312
设置需捕获网卡的混杂模式,就能捕获局域网内所有发包内容,包括非广播包和非发给自己主机的数据包。
Wireshark抓包工具
05-30
Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具Wireshark抓包工具
wireshark网络抓包教程
06-02
使用wireshark进行网络抓包,首先前提条件是需要一个HUB,将盒端,网络端和电脑端,三方连接在同一个IP端内进行。然后按文档部分抓包即可。
华三交换机端口镜像抓包实战
weixin_43472459的博客
10-09 1万+
华三交换机配置端口镜像wireshark抓包深度分析
wireshark设置端口镜像_如何用抓包工具wireshark交换机其中一端口进行抓包分析? - 网络管理论坛 - 51CTO技术论坛_中国领先的IT技术社区...
weixin_39752800的博客
12-30 1919
我们单位的楼层交换机下联有小的交换机,晚上telnet到楼层交换机查看端口状态,奇怪的是在晚上没人用的时候端口也会有数据经过,请问这是为什么?然后如何用抓包工具wireshark交换机其中一端口进行抓包分析?FastEthernet0/19 is up, line protocol is up (connected)Hardware is Fast Ethernet, address is 00...
wireshark设置端口镜像_H3C交换机端口镜像,抓取数据包wireshark实战
weixin_39640845的博客
02-11 477
端口镜像system-vies //进入配置模式用户名:admin密码:admin(默认)[H3C]dis cu int 查看所有端口的配置[H3C] exit //退出抓取数据包软件:WiresharkWireshark界面说明1号窗口展示的是wireshark捕获到的所有数据包的列表。注意最后一列Info列是wireshark组织的说明列不一定是该数据包中的原始内容。2号窗口...
交换机镜像抓包使用教程
zengliguang的专栏
12-12 1209
5口接抓包设备,也就是我们安装了抓包软件的笔记本。1、2、3、4口接入设备端网线即可。【金山文档】 未命名文件(22)
端口镜像抓包
孑然的博客
03-13 1786
SPAN是本地抓包,思科里面吧SPAN叫做交换机端口分析器,其实也就是端口镜像。配置案例:让PC1 ping PC2,我们通过查看SW的e0/2端口的状态来查看数据包"1"表示镜像的进程编号,一台设备可以起多个镜像线程"both"表示抓取该端口接收和发送的数据,“rx”表示只抓取该端口接收到的数据,“tx”表示只抓取该端口发送的数据。默认就是bothEVE的桥接是二次桥接,没有办法让物理机使用wireshark来进行抓包,所以我们只能通过查看接口状态来进行判断。
Wireshark数据抓包教程之Wireshark捕获数据
大学霸__IT达人
07-16 1万+
Wireshark数据抓包教程之Wireshark捕获数据
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值