本文已参与「新人创作礼」活动,一起敞开创作之路。
前言
跟着网络数据包剖析技能的运用,关于数据包捕获和剖析的安全性问题也随之而来,由于网络数据包或多或少会带些灵敏信息,涉及信息分享时总会带有一定顾虑。
在我们的作业当中,有时就会碰到如下相似的场景,包含:
- 生产事务体系碰到问题之后所采集的网络数据包,需求提供给内部或外部的工程师进行排查剖析;
- 涉及到朋友之间探讨技能问题或许在外部公共场合渠道咨询、评论的时分,一些需求同享的网络数据包信息,包含截图或盯梢文件;
- 对外发布技能文章和材料,涉及到引证网络数据包信息的时分。
……
那么怎样保证这些同享数据包信息的安全性呢?其中有一种方法就是匿名化数据包信息,本文从匿名化东西一个运用者视点做下简略阐明。
非安全方向,相关技能了解如有不对之处,请多多请教。
匿名化
什么是匿名化?匿名化作为一种解决“数据可用”和“隐私维护”两难窘境的有用技能,可完成“经过处理无法辨认特定个人且不能复原”。从字面了解,是匿名的处理,而“匿名”可了解是将原始数据记载代表的“自然人”完成“身份匿名”。具体来说,经过各种技能手段,比方删除标识符、泛化和加噪等操作,切断自然人与数据记载的相关,然后不仅保存所需的数据价值,同时降低了隐私泄露的风险。
而关于匿名化数据包盯梢文件信息来说,可能包含数据包信息截图或是数据包盯梢文件自身两方面的处理。
- 数据包信息截图
- 首选马赛克,图像处理下相关信息,譬如 IP 地址部分 ~ P 图东西 ;
- 或许直接运用 Wireshark
Edit Resolved Name的方法命名成 Client 和 Server 也可。
- 数据包捕获文件
- 经过切片东西,只留需求的首部部分做剖析;(缺陷是无法深化到运用层)
- 数据包匿名化东西(或称为数据包修正器),深化处理,手艺或批量处理像是 MAC 地址、IP 地址、TCP/UDP 端口和运用层等信息。(本文重点)
东西
匿名化东西其实很多,根据实践场景,找到自己适用的即可,大致如下:
- TraceWrangler
- editcap
- tcprewrite
- 科来数据包生成器
- Bit-Twist
- 十六进制修正器
TraceWrangler
TraceWrangler 是 Wireshark 中心技能人员 Jasper Bongertz 大神开发出来的一个东西,经常看 Sharkfest 的同学应该对这个东西不会生疏,基本每一年的大会上他对会 TraceWrangler 做专题讲演。说实话,就我个人来说,自从用过 TraceWrangler 东西后我就很少再用其他的东西了,TraceWrangler 只能用神器来描述,至少是能完全掩盖我想用来分享数据包文件信息的场景了,这也是为什么我把它放在第一个介绍的原因。
主界面
增加文件及匿名化文件
默许使命就包含常见的一些匿名化处理选项,包含:
- Payload,可移除不知道运用层、切断某一层、按偏移位切断以及替换指定字符串;
- PCAPng,针对pcapng格式文件,能够匿名化评论、接口姓名、姓名解析等;
- Layer2,能够指定或随机替换 MAC 地址和 VLAN ID、替换 CRC等;
- Layer3,能够指定或随机替换 IP 地址和 IP ID、ICMP 控制信息等;
- Layer4,能够指定或随便替换 TCP、UDP 端口信息等;
- 其他,包含特殊运用层信息等。
当然经过 Tools 选项也能够铲除所有的默许选项,可根据自己的需求仅匿名处理某一个字段,也能够设置一个自己常用的 Proflie 。
以下简略做下一个 IPv4 地址的匿名化处理使命,原文件信息如下:
仅处理 IPv4 地址信息,指定替换源IP 192.168.0.1 为 100.1.1.1 ,目的IP 10.10.10.1 为 200.1.1.1,当然也能够随机匿名处理IPv4地址,见下 Process remaining IP addresses 选项。
点击 Okay 之后回到主界面,生成一个匿名化文件使命(右侧包含文件细节),之后点选 Run 后,在原始文件旁边即自动生成一个匿名化好的文件,原文件名如 test.pcapng,则匿名化文件为 test_anon.pcapng 。
test_anon 文件信息处理如下
是不是十分简略 ~
科来数据包生成器
科来数据包生成器是科来网络剖析体系 技能交流版安装时顺便的东西之一。导入数据包文件后在右侧栏会出现所有数据包列表,点选某一个数据包,在左边栏会自动展示解码信息,可直接在左上栏进行具体解码修正,或许在左下栏进行十六进制修正。其它功用包含增加或刺进一些通用协议的数据包,包含 ARP 数据包、IPv4 数据包、TCP 数据包等,当然修正后的数据包也可经过网卡模仿发送出去。同样相关于专门的匿名化东西,像是批量化修正等功用暂时欠缺。
Editcap
editcap 是 Wireshark 程序安装时顺便的可选东西之一,用于修正数据包文件的命令行东西。严厉上来说,它并不是一个专业的匿名化东西,它所运用的相关功用包含数据包长度切断、数据包时间修正、随机变动数据字段、偏移位字段修正等。由于是命令行东西,关于匿名化操作,需求对相关网络协议数据包十分了解,并且非专业东西,相对图形化的一些东西,并不是很便利。
Tcprewrite
tcpreply 下的东西 tcprewrite – pcap file editor which rewrites TCP/IP and Layer 2 packet headers ,可修正各层头部信息,概况可见 https://github.com/appneta/tcpreplay。
Tcpreplay is a suite of GPLv3 licensed utilities for UNIX (and Win32 under Cygwin) operating systems for editing and replaying network traffic which was previously captured by tools like tcpdump and Wireshark. It allows you to classify traffic as client or server, rewrite Layer 2, 3 and 4 packets and finally replay the traffic back onto the network and through other devices such as switches, routers, firewalls, NIDS and IPS’s. Tcpreplay supports both single and dual NIC modes for testing both sniffing and in-line devices.
WireEdit
WireEdit 是一个用来修正网络数据包的可视化修正东西,和 omnipeek 都是出自于同一家公司,概况可见 omnipacket.com/ 。做为一个商业化产品,WireEdit 作为数据包剖析器时不需求商业许可证,可是作为数据包修正器时是需求商业许可证的。
WireEdit allows WYSIWYG editing of Pcap data in situ for any network stack at any stack layer while preserving the binary integrity of the data. Data editing is done in a break-proof manner with the lengths, checksums, offsets, and other inter and intra-packet dependencies recalculated on-the-fly for all affected packets and protocol layers.
十六进制修正器
十六进制修正器可选择的软件较多,包含常见的 notepad++(加载 HEX-Editor 插件方法)、WinHex 以及 010Editor 等,像是 010Editor 经过模板的方法专门增加了对 Network pcap 和 pcapng 文件的解析,便利修正。这些东西同 editcap 相同,修正需求对相关网络协议数据包十分了解,不是很便利上手。
总结
整体来说,能完成匿名化处理的东西很多,选择够用以及合适自己的就好,怎样便利怎样来。
参考
blog.csdn.net/qq_35789269…
blog.csdn.net/weixin_4358…
blog.nsfocus.net/the-concept…
www.secrss.com/articles/28…
www.wireshark.org/docs/man-pa…
github.com/appneta/tcp…
omnipacket.com/
