遇到网络被攻击的情况,想必上每一个网管都遇到过的情况,通常我们都可以通过防火墙等来阻挡攻击,前提是我们知道是哪一种类型的攻击,有些攻击的特征很明显,很容易就可以判断出是什么类型的攻击,当遇到不明攻击时,我们就需要抓包来分析其攻击的类型,下面我们以华为路由器为例,来给大家讲解一下如何抓包。* d# z) e# a+ ]
一、华为AR系列路由器' o" B* [$ r5 N1 C% n* _, H
在Voice视图下,输入命令vdsm ,显示Please input password时,输入密码,进入语音隐含视图。) a$ W9 H# t c3 U; Z
1、执行命令h-dsp pcm free ,清除以前缓存的PCM包数据;
' H8 R \ {, k7 m 2、执行命令h-dsp pcm x 命令抓取PCM包,其中x为端口号,从0开始,按模拟语音口显示顺序一直排下去;# k5 f8 o/ h( l1 T- q: K( c
3、执行命令h-dsp pcm save 命令保存PCM包数据。
& f! y- j/ G6 `: d 最后用FTP或TFTP把PCM包从路由器上下载下来,PCM抓包工具只能在模拟语音口FXO及FXS口上使用。2 W% f( H% L* w# V7 j: U0 }6 _* l2 x
二、华为R系列路由器
8 s. D4 z4 W' o) z6 p# @ 进入超级用户视图 f* \1 A9 F( s2 x! a4 b; F0 l
[huawei]super
8 V) e+ ^) m6 [- B! y7 M 在此处输入密码
' g) C$ [" p* S [huawei-supervisor]
! h* X9 c' S+ o# y% ?: w 使用h-dsp pcm [channelNo]命令可以抓取1分钟的pcm数据,在抓取过程中,如果重复执行h-dsp pcm [channelNo]命令,会看到大小在不断增长,抓完会有提示(红色文字部分),最终抓取pcm数据文件的大小大约为964K,如果文件大小相差太大,则抓取的包有问题,请重新抓取。
7 H t Y% M, Z 下面以一个例子来演示:
9 f, ?# g0 a1 M/ p) y3 y; y [huawei-supervisor]5 {' ^: P2 {4 _' f; b
[huawei-supervisor]h-dsp pcm 04 ^8 z. L: V& _
channel 0 start capture pcm data packet, addr:0x7cb34b4
' i v0 S4 ]1 O/ P [huawei-supervisor]h-dsp pcm 0
4 J) C9 {5 e) H+ m Channel 0 has been capturing PCM data packet, size:40488, addr:0x7cb34b4
* i1 T: }4 t% F. I! p2 w, W. `- E please h-dsp pcm free first.+ ]! O+ o) r/ Y$ C
[huawei-supervisor]h-dsp pcm 0
5 w% @9 k+ B) o: A* ^3 | Channel 0 has been capturing PCM data packet, size:77120, addr:0x7cb34b4
6 z* Q, L; [0 G0 V' Z please h-dsp pcm free first./ @. P7 R# t% J7 \" @6 F, M+ O
[huawei-supervisor]h-dsp pcm 05 K+ _0 `6 x( `. E, Q3 p
Channel 0 has been capturing PCM data packet, size:111342, addr:0x7cb34b44 c3 S- K6 |8 k, S |# y( i e1 }* o( @
please h-dsp pcm free first.$ ^3 c# C6 P4 _/ m! D
4VI: PCM data buffer has been full, stop capturing PCM data.
7 ~; @. ]3 L9 t' V2 U 4VI: Debug PCM error! Fail to record packet number.
! A c( h* q: { 最后在路由器上启用ftp服务器,从电脑机上用ftp登录,get pcm就可以把抓取到的pcm数据包下载下来。! F G+ c z, a; _% e) L2 A z
当我们抓到包后就可以用软件分析其攻击的特征,从而判断出是哪一种类型的攻击,调整防御的策略,完美阻挡恶意的攻击。 |