winpcap

1、安装eNSP 　　eNSP是一款网络仿真工具平台。 　　之前的eNSP从华为官网下载完毕后就可以直接安装使用，最新版的eNSP安装需要提前安装好WinPcap、Wireshark、Virtualbox 这三个程序，下面是这三个程序的下载地址。 　　安装最新winpcap 　　https://www.winpcap.org/ 　　安装最新wireshark 　　https://www.wireshark.org/download.html 　　安装最新Virtualbox 　　https://www.virtualbox.org/wiki/Downloads 　　eNSP从华为官网下载后，一直默认下一步安装完毕。启动后界面是这样的 　　注：eNSP打开后，发现里面所有的设备点击启动都提示40错误，按照帮助文档里面的方法和百度的方法都不能解决，最后在华为官网翻看eNSP安装教程，找你原因所在，以上的三个依赖软件不是下载最新版就行，而是要下载与eNSP对应的版本。以下是华为官网文档说明。 　　至此，eNSP安装完毕。 2、熟悉常用的IP相关命令 　　模拟简单的企业网络场景，交换机S1连接客服部PC-1，S2连接市场部PC-2，路由器R1连接S1和S2两台交换机。 实验拓扑： 用到的命令 system-view sysname R1 interface GigabitEthernet

wireshark抓包工具 了解使用wireshark抓包工具 分类: 基础类 标签: 抓包 , 三次握手 , 四次挥手 一、简介 　　1、什么是wireshark 　　　　百度： 　　　　Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。 　　　　在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。 　　　　开源软件，用GPL协议发行，所以可以免费在任意数量机器上使用 　　　　 　　2、主要应用 　　　　帮助管理员解决网络问题 　　　　帮助安全工程师用来检测安全隐患 　　　　开发人员用来测试协议执行情况 　　　　用来学习网络协议 　　　　等等。 　　3、特性 　　　　跨平台支持windows/unix平台 　　　　在接口实时抓包 　　　　能详细显示包的详细协议信息 　　　　可以打开/保存捕捉的包 　　　　可以导入导出其他程序支持的包数据格式 　　　　可以通过多种方式过滤包 　　　　多种方式查找包

## 实验环境 为了方便，直接在win10 VS2013Ultimate实现( 攻击机) ， 靶机 为同一局域网的另外一台主机或外网服务器。 ## 实验依赖 基于WinPcap实现，需要安装 WinPcap4.3 和下载 WinPcap4.3.1开发包 。 ## 实验最终目的 在攻击机上可以直接对局域网内的任意一台主机或外网服务器发起SYN_Flood攻击,靶机上面建立起很多 TCP半连接(SYN_RECEIVED) 。 ## 实验VS2013工程文件目录 SYN-Flood.h SYN-Flood.cpp functions.cpp ## VS工程文件下载链接（windows10 VS2013Ultimate 调试运行成功） https://download.csdn.net/download/weixin_45479657/11930359 ##提示:建议在VS2013运行，另外需要在工程里面包含winpcap4.3.1开发包include,lib路径 来源： oschina 链接： https://my.oschina.net/u/4344316/blog/3361172

DNS隧道 0 1 原理 在进行 DNS 查询时，如果查询的域名不在 DNS 服务器本机的缓存中，就会访问互联网进行查询，然后返回结果，如果互联网上有一台定制的服务器，那么依靠 DNS 协议即可进行数据包的交换。从 DNS 协议角度来看，这样的操作只是在一次次的查询某个特定的域名并得到解析结果，但其本质问题是，预期的返回结果应该是一个 IP ，而事实上返回的可以使任意字符，包括加密的 C&C 指令。 DNS 隧道根据实现方式大致可分为两种： 直连： 用户端直接和指定的目标 DNS 服务器建立连接，然后将需要传输的数据编码封装在 DNS 协议中进行通信。这种方式的优点是具有较高速度，但蔽性弱、易被探测追踪的缺点也很明显。另外直连方式的限制比较多，如目前很多的企业网络为了尽可能的降低遭受网络攻击的风险，一般将相关策略配置为仅允许与指定的可信任 DNS 服务器之间的流量通过。 中继隧道： 通过 DNS 迭代查询而实现的中继 DNS 隧道，这种方式及其隐秘，且可在绝大部分场景下部署成功。但由于数据包到达目标 DNS 服务器前需要经过多个节点的跳转，数据传输速度和传输能力较直连会慢很多 。 这两种功方法虽然在工作原理上存在差异，但是从流量上看都是DNS协议，但是实际工程中也需要注意，旁路采集的方式可能会影响到你最终能否采集到的完整的通信日志，例如如果采用记录dns解析的方法，则可能漏过upd

关于Snort snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。 安装配置Snort 下载安装包及规则：www.snort.org(下面我使用的安装包版本为2.9.16 x86，x64会有抓不到包的问题，规则包为snortrules-snapshot-29160) 提前安装Winpcap，因为snort需要基于Winpcap抓包的 安装Snort，默认选项一直单击下一步直至安装完成 在snort\bin目录下执行命令，查看snort信息，snort安装完成 snort -V 实现Snort的IDS功能 配置snort 下载规则库后解压 将preproc_rules，rules，so_rules替换到snort目录下，如下： 修改配置文件snort\etc\snort.conf var RULE_PATH ../rules var SO_RULE_PATH ../so_rules var PREPROC_RULE_PATH ../preproc_rules 修改为你的安装目录： # path to dynamic

ARP协议在局域网内使用的非常广泛，它的数据包类型分为请求包和答复包。Windows系统内部有一个缓冲区，保存了最近的ARP信息，可以在cmd下使用命令arp -a来显示目前的缓存，或者使用命令arp -d来清除该缓存（Win7下需要以管理员权限运行cmd）。 在局域网内，两台机器之间通信，实际上靠的是网卡的物理地址。比如说，本机的IP是192.168.1.80，现在想往另外一台IP为192.168.1.138的机器发送一个ICMP包，或者发起一个TCP连接，操作系统第一步会先获取目标机器的网卡物理地址，获取的步骤是先在ARP缓存里面查找，如果没有找到，则发送ARP请求包（一般是广播方式，询问这个IP的网卡物理地址是多少，目标机器收到请求包，发现请求的目标IP是自己，则反馈一个ARP回复包）。如果目标IP的网卡物理地址获取失败，则无法通信—因为不管TCP、UDP还是ICMP，这些基于以太网的数据包，都有一个以太网帧头。如果没有目标的网卡物理地址，底层就无法填充目的地结构，也不知道发送给哪个网卡了。 下面我们结合程序来做个实验。先说说如何调用WinPcap发送数据包。WinPcap的发包函数是PacketSendPacket，这里我们封装一个函数来调用它： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

华为模拟器ensp安装与使用 1. 安装ensp软件，注册激活； 2. 镜像导入。 安装ensp软件，注册成功 1. 第一步，安装VirtualBox,以管理员身份运行； 根据安装向导，默认选择“下一步”； 安装目录默认选择C盘，选择“下一步”； 自定安装，点击“下一步”； 安装过程中重置网络，立即安装，选择“是”； 安装过程中重置网络，立即安装，选择“是”； 点击“安装”，等待安装进度条完成； 弹出对话框，你想安装这个Oracle Corporation Network Service设备软件吗？点击“安装”； 不要勾选“安装后运行Ｏracle VM VirtualBox 5.2.26”，点击“完成”； 第二步，安装WinPcap_4_1_3，以管理员身份运行； 点击“next”； 点击“I Agree”； 默认选择，点击“Install”； 安装完成，选择“Finish”； 第三步，安装Wireshark-win64-1.12.4，以管理员身份运行； 点击“Next”； Choose Components默认选择，点击“Next”； Select Additional Tasks默认选择，点击“Next”； 默认选择C盘目录，点击“Next”； Instal WinPcap默认选择，点击“Install”； WinPcap 4.1.3 Setup，因为上面已经在第二步安装完成

首先我们打开华为eNSP软件包找到以下软件，我们需要先安装以下三个软件 右击管理员模式运行VirtualBox，在这里我们只需要根据引导慢慢安装即可，点击下一步 这里注意一下，安装完成后我们不需要立即运行此程序，点击完成 接下来安装WinPcap，依旧右击以管理员方式运行，根据引导进行安装 完成安装后，安装第三个软件Wireshark，右击以管理员身份安装，根据引导进行安装 安装完成后，我们可以开始我们的eNSP安装了,右击管理员身份运行 按照引导进行安装 在这里我们需要特别注意一下，我们可以看到这边我们已安装好这三个软件，如果上面未完成安装的话，这里会提示未检测到安装，需重新安装 到了这里我们eNSP已经安装完毕了，接下来我们进入进行一些配置设置，在这里注意一下，我们先调整下兼容性，用兼容模式运行，选择win7，不然后续可能出现无法注册 进入软件后打开菜单，选择工具-注册设备 在这里我们将这些全部勾选进行注册 注册成功后重新启动eNSP 接下来，我们首先对路由器进行配置，选中左边的路由器，全部拖至右边拓扑 将以下路由器选中进行启动 点击此处小按钮，打开所有CTI，耐心等待所有路由器启动 路由器启动完成后可以看到以下界面，将这些路由器停止 下面我们对以下路由器进行配置 右击选中NE2启动，我们可以看到这里需要我们导入设备包，根据提示导入相应的设备包，同理NE1、NE3

1、简介 　　所谓“底层数据包”指的是在“运行”于数据链路层的数据包，简单的说就是“以太网帧”，而我们常用的Socket只能发送“运行”在传输层的TCP、UDP等包，这些传输层数据包已经能满足绝大部分需求，但是有些时候还是需要发送底层数据包的（例如SYN扫描），那么如何发送呢？ 　　本文记录了我试图实现的过程中遇到的一些问题以及解决办法，需要注明：①本文只考虑Windows上的实现 ②本文主要目的是实现发送部分 ③本文假定读者理解网络分层结构和一些基本的网络编程方法 ④本文只是在讨论常规技术，切勿用作不法用途。 2、实现底层数据包发送的简单方法 A)Raw Socket 　　Raw Socket是实现底层（网络层）数据包最轻松方便的途径，在使用WSASoccket（或socket）创建Socket时，可以用SOCK_RAW将Socket类型设置为Raw： socket = WSASoccket(AF_INET,SOCK_RAW,IPPROTO_IP,NULL, 0 , 0 ) // 创建一个原始套接字 　　使用IPPROTO_RAW初始化的原始套接字可以直接收发网络层数据包，发送一个TCP包时需要手工构造IP头、TCP头、内容以及各校验和，构造完数据包后，用sendto方法将该包发送（注意到，手工构造的IP包头中已经包含了目的IP地址，所以sendto的目的地址参数是无意义的）