遇到网络被攻击的情况,想必上每一个网管都遇到过的情况,通常我们都可以通过防火墙等来阻挡攻击,前提是我们知道是哪一种类型的攻击,有些攻击的特征很明显,很容易就可以判断出是什么类型的攻击,当遇到不明攻击时,我们就需要抓包来分析其攻击的类型,下面我们以华为路由器为例,来给大家讲解一下如何抓包。3 r. s. H d6 N) T' {$ b
一、华为AR系列路由器
2 [: Y4 Q0 y2 A9 U/ F 在Voice视图下,输入命令vdsm ,显示Please input password时,输入密码,进入语音隐含视图。) Y+ `& M* j$ P3 U4 y5 {1 ^
1、执行命令h-dsp pcm free ,清除以前缓存的PCM包数据;
0 I4 O! [: ?2 l d G 2、执行命令h-dsp pcm x 命令抓取PCM包,其中x为端口号,从0开始,按模拟语音口显示顺序一直排下去; K, _6 \( J) X0 q n5 q. s! {
3、执行命令h-dsp pcm save 命令保存PCM包数据。' p& Q# J6 j4 W& k
最后用FTP或TFTP把PCM包从路由器上下载下来,PCM抓包工具只能在模拟语音口FXO及FXS口上使用。
& C; i g; g" k1 a6 @5 w 二、华为R系列路由器
. X: v3 f+ m3 Y3 a+ E 进入超级用户视图 v s" S X: n* w
[huawei]super
$ j3 _/ Z. R0 r+ N; f% C 在此处输入密码3 t, o. b" l% E( ~6 O. e
[huawei-supervisor]# V+ B, T- H+ _0 n4 c# T
使用h-dsp pcm [channelNo]命令可以抓取1分钟的pcm数据,在抓取过程中,如果重复执行h-dsp pcm [channelNo]命令,会看到大小在不断增长,抓完会有提示(红色文字部分),最终抓取pcm数据文件的大小大约为964K,如果文件大小相差太大,则抓取的包有问题,请重新抓取。
) ^9 ?' Y& _& c$ t: [ 下面以一个例子来演示:
1 F( p" R# @4 k1 v. e" H t. r6 A [huawei-supervisor]
0 x/ L+ z1 x& @: m+ j! @5 Y [huawei-supervisor]h-dsp pcm 07 d; Y* \" g" {, y3 ^/ B
channel 0 start capture pcm data packet, addr:0x7cb34b4
. I$ F; g- l/ n [huawei-supervisor]h-dsp pcm 07 x# e. A/ ]2 s" u( E
Channel 0 has been capturing PCM data packet, size:40488, addr:0x7cb34b46 a5 ?: h, T7 D9 s2 |. M Q* b
please h-dsp pcm free first.
6 A5 p7 Q' j- u% o [huawei-supervisor]h-dsp pcm 0/ d0 _/ u8 l/ @
Channel 0 has been capturing PCM data packet, size:77120, addr:0x7cb34b4! O' e+ H; y7 B
please h-dsp pcm free first.
$ F% K/ e% F3 @5 c [huawei-supervisor]h-dsp pcm 0( N# }, \5 x1 z: v+ ?1 m$ d; V! T
Channel 0 has been capturing PCM data packet, size:111342, addr:0x7cb34b4
3 {/ \1 G6 f u please h-dsp pcm free first.9 D# F3 H# G* a3 ?/ f5 w
4VI: PCM data buffer has been full, stop capturing PCM data.( J1 m6 \ ~) d) o% u9 X
4VI: Debug PCM error! Fail to record packet number.
* K6 J) e0 f# O/ i4 v 最后在路由器上启用ftp服务器,从电脑机上用ftp登录,get pcm就可以把抓取到的pcm数据包下载下来。, M( }# }+ t' |( h4 R H3 v- v
当我们抓到包后就可以用软件分析其攻击的特征,从而判断出是哪一种类型的攻击,调整防御的策略,完美阻挡恶意的攻击。 |
发表于 2012-8-4 13:34:06
