当前位置: 首页 > news >正文

网络协议解析实战指南

news 2026/5/11 20:58:05

数据包解析(Packet Analysis)是网络流量分析、安全审计和协议逆向工程中的关键技术,常用于识别通信内容、检测异常行为或进行故障排查。下面分别简要介绍你提到的常见协议(Telnet、FTP、SSH、VNC、RDP)以及工控协议(如IEC 60870-5-101/104)的数据包解析要点:

一、通用工具

  • Wireshark:图形化抓包与解析工具,支持大量协议解码。
  • tcpdump:命令行抓包工具,适合服务器环境。
  • TShark:Wireshark 的命令行版本。
  • Scapy(Python):可编程构造/解析数据包。
  • Zeek(原Bro):用于高级网络日志与协议分析。

二、各协议解析要点

1. Telnet(端口 23)

  • 明文传输:所有通信(包括用户名密码)均为明文。
  • 解析重点
    • TCP 载荷直接可见 ASCII 字符。
    • 可通过 Wireshark 的 “Follow TCP Stream” 查看完整会话。
  • 安全风险:极易被中间人窃听。

2. FTP(端口 21 控制,20 或动态端口 数据)

  • 控制连接 vs 数据连接
    • 控制连接(21):发送命令(USER, PASS, RETR 等)。
    • 数据连接:传输文件内容(主动/被动模式)。
  • 解析重点
    • 控制通道为明文,可看到账号密码。
    • 数据通道需结合控制通道判断传输内容。
  • 注意:FTP over TLS(FTPS)则加密,无法直接解析载荷。

3. SSH(端口 22)

  • 加密协议:从密钥交换开始全程加密。
  • 解析限制
    • 仅能解析握手阶段(SSH 协议版本、算法协商等)。
    • 应用层数据(shell 命令、SFTP 文件)无法明文查看,除非有私钥且使用 Wireshark 解密(需配置ssh.keys)。
  • 安全建议:无法直接解析内容,但可通过流量模式(如连接频率、数据量)做行为分析。

4. VNC(通常端口 5900+)

  • 远程桌面协议,常见实现:RealVNC、TightVNC。
  • 认证方式
    • 早期版本:弱加密(DES),密码可爆破。
    • 新版本:支持 TLS。
  • 解析重点
    • 初始握手包含协议版本(如 "RFB 003.008\n")。
    • 若未加密,可看到屏幕更新、键盘事件等 RFB 协议数据。
    • Wireshark 支持基本 RFB 解析。

5. RDP(Remote Desktop Protocol,端口 3389)

  • 微软专有协议,默认启用加密(TLS 或 CredSSP)。
  • 解析难点
    • 现代 RDP 几乎全加密,无法直接解析应用层。
    • 可识别连接建立、证书交换等 TLS 层信息。
    • 若有服务器私钥,Wireshark 可部分解密(需配置 SSLKEYLOGFILE)。
  • 流量特征:固定端口、高带宽、周期性心跳包。

三、工控协议解析

IEC 60870-5-101(串行链路,常用于电力系统)

  • 特点
    • 面向串口(RS-232/485),但也可封装在 TCP(非标准)。
    • 固定帧格式:起始字符(0x68)、长度、控制域、地址域、ASDU。
  • 解析工具
    • Wireshark 插件(需加载 101 dissector)。
    • 自定义脚本解析十六进制流。
  • 关键字段:类型标识(TI)、可变结构限定词(VSQ)、信息对象地址(IOA)。

IEC 60870-5-104(基于 TCP 的 101 扩展,端口 2404)

  • 封装方式:APCI(应用协议控制信息) + APDU(应用协议数据单元)。
  • TCP 端口:2404。
  • 解析重点
    • APCI 包含启动字符(0x68)、长度、控制域(启停、序号)。
    • APDU 包含类型标识、传送原因、公共地址、信息体。
  • Wireshark 支持:内置 104 协议解析器,可直接解析 ASDU 内容。
  • 安全问题:无认证/加密,易受重放、篡改攻击。

示例:104 协议典型帧
68 0e 0e 00 02 00 64 01 06 00 01 00 00 00 00 7a 16
表示一个总召唤命令(Type ID = 100)。

四、实际操作建议

  1. 抓包命令示例(tcpdump)

    # 抓取 104 协议 tcpdump -i eth0 port 2404 -w 104.pcap # 抓取 VNC 流量 tcpdump -i eth0 port 5900 -w vnc.pcap

  2. Wireshark 过滤表达式

    • tcp.port == 2404→ IEC 104
    • rdp→ RDP 流量
    • ftp || ftp-data→ FTP
    • telnet→ Telnet

  3. 自动化解析(Python + Scapy)

    from scapy.all import * pkts = rdpcap("104.pcap") for pkt in pkts: if pkt.haslayer(TCP) and pkt[TCP].dport == 2404: print(pkt[TCP].payload)

五、安全与合规提醒

  • 解析他人网络流量需获得授权,否则可能违法。
  • 工控协议暴露在公网存在极高风险,建议部署防火墙、IDS(如 Suricata 规则检测 104 异常指令)。
http://www.jsqmd.com/news/279658/

相关文章:

  • Parasoft助力医疗嵌入式软件测试:从安全性到合规性的一体化方案
  • 笔记:如何使用 Entity Framework Core
  • std::thread创建线程访问类成员
  • std::function
  • unet image Face Fusion容器化打包?Dockerfile编写最佳实践
  • 2026年苏州GEO优化公司推荐:专业服务商选型指南
  • 瑞祥商联卡回收的三种省心途径(2026年)
  • 堡垒机底层协议开发
  • .NET微服务架构:从开发到部署全指南
  • 2026年呼叫中心公司推荐:厂商详细盘点与解析指南
  • 江苏柴油发电机公司如何选择?这五家实力企业值得关注
  • 2026年1月中国健身器材行业竞争格局深度分析报告
  • Unsloth模型合并:LoRA权重整合详细步骤
  • 一文看懂 Android 热点如何“智能”开启 5GHz 频段:从代码到用户体验的完整解析
  • 2026疲劳试验机选对厂家很重要:品质好、型号全的企业推荐
  • 2026西安口碑好的宝宝起名公司高端专业起名机构精选
  • Mandiant发布快速凭据破解工具,加速淘汰微软老旧协议
  • rust并发安全特性
  • 国产PCB设计软件推荐:这款高效工具,助你轻松完成国产替代
  • 2026柔板印刷机选购:哪些公司口碑佳?比较好的柔板印刷机推荐榜10年质保有保障
  • Oracle向KingbaseES迁移:核心痛点拆解与根源分析
  • 论文笔记:[3D Gaussian Splatting for Real-Time Radiance Field Rendering]
  • 构建企业专属“大脑”:深度盘点知识库部署厂商、Deepseek技术合作方及BI私有化实施先锋力量
  • 2026宿州聚乙烯瓶销售厂家哪家强?《2025年度Top服务商榜单与解析》
  • Kamailio 处理呼叫但碰到的错误为 no connect set and no active connection
  • Z-Image-Turbo部署优化:多卡GPU负载均衡实战配置
  • 2026南通红木书桌书房品牌推荐指南
  • 2026在线证件照制作工具怎么选?多款产品体验对比后的真实体验
  • 用 Command 模式构建可扩展的命令行工具
  • 详细介绍:Django与前端框架集成:Vue.js、React的完美配合