遇到网络被攻击的情况,想必上每一个网管都遇到过的情况,通常我们都可以通过防火墙等来阻挡攻击,前提是我们知道是哪一种类型的攻击,有些攻击的特征很明显,很容易就可以判断出是什么类型的攻击,当遇到不明攻击时,我们就需要抓包来分析其攻击的类型,下面我们以华为路由器为例,来给大家讲解一下如何抓包。% h) ^6 K: `0 F, j( j1 ~; {; p
一、华为AR系列路由器" X0 }# y/ x: n0 r, R" `* V
在Voice视图下,输入命令vdsm ,显示Please input password时,输入密码,进入语音隐含视图。
. A: f% l" |0 w6 j 1、执行命令h-dsp pcm free ,清除以前缓存的PCM包数据;
/ U, @- g, E6 p: i3 |, Z 2、执行命令h-dsp pcm x 命令抓取PCM包,其中x为端口号,从0开始,按模拟语音口显示顺序一直排下去;
, Q) m) c: o- e3 T 3、执行命令h-dsp pcm save 命令保存PCM包数据。6 G1 Z$ ^7 c& t
最后用FTP或TFTP把PCM包从路由器上下载下来,PCM抓包工具只能在模拟语音口FXO及FXS口上使用。1 P7 ?" `% \) t
二、华为R系列路由器
# n/ M3 g/ q/ Z X 进入超级用户视图
' C+ @0 K N5 B0 V- T0 ? [huawei]super
5 o) K( u; b, f5 D& L. Y6 q 在此处输入密码
3 L* e% N7 }* I N* b4 u F [huawei-supervisor]
" }% W4 s( i' W8 X9 ] 使用h-dsp pcm [channelNo]命令可以抓取1分钟的pcm数据,在抓取过程中,如果重复执行h-dsp pcm [channelNo]命令,会看到大小在不断增长,抓完会有提示(红色文字部分),最终抓取pcm数据文件的大小大约为964K,如果文件大小相差太大,则抓取的包有问题,请重新抓取。, d6 t! v& N' T0 o
下面以一个例子来演示:6 r5 `& _! |# O& Z5 ?
[huawei-supervisor]" c3 }, D% ?' O! J" F3 z
[huawei-supervisor]h-dsp pcm 0/ T! F7 B+ V6 {8 c% F
channel 0 start capture pcm data packet, addr:0x7cb34b4/ {3 E( A a# G% X( z& u9 H( ?: q: ~
[huawei-supervisor]h-dsp pcm 0
& v- r4 c2 t t+ ] Channel 0 has been capturing PCM data packet, size:40488, addr:0x7cb34b4$ S6 p" f9 R% R6 ]% I2 s8 ^, K& _
please h-dsp pcm free first.& X+ b/ \' W% }" T
[huawei-supervisor]h-dsp pcm 06 v% ~8 B; z+ }- f. |
Channel 0 has been capturing PCM data packet, size:77120, addr:0x7cb34b4- z* R& f( b* K( F) @
please h-dsp pcm free first.( K+ x6 V3 i0 p D
[huawei-supervisor]h-dsp pcm 0/ M6 ^# |0 D9 j. \: }- _
Channel 0 has been capturing PCM data packet, size:111342, addr:0x7cb34b4
' p. _& |& @; U) `6 t: B* l please h-dsp pcm free first.
: p8 N. N( j" _/ Y 4VI: PCM data buffer has been full, stop capturing PCM data.7 c. `& p# U& ]' F; b$ j6 j
4VI: Debug PCM error! Fail to record packet number.6 B. a5 Y L/ k/ s* I
最后在路由器上启用ftp服务器,从电脑机上用ftp登录,get pcm就可以把抓取到的pcm数据包下载下来。1 R6 ~' j) [1 ?7 F3 A' L
当我们抓到包后就可以用软件分析其攻击的特征,从而判断出是哪一种类型的攻击,调整防御的策略,完美阻挡恶意的攻击。 |