pretty code

2021年4月5日 星期一

抓封包步驟備忘

太久沒抓封包了,記錄一下步驟。

硬體接法

Port 1 - TP-LINK Wi-Fi AP
Port 2 - ADSL line
Port 5 - Laptop (Mirror Port)


軟體設定

01. 開啟對外 AP 設定網頁,確定 Port 1 取到的 IP。
02. ip.src == 192.168.1.10 or ip.dst == 192.168.1.10 (Wireshark Filter)。


由於我的目的是想確定是否有不正常封包,故我會把另外安裝的軟體都設定成強制停止或先暫時移除,接著把自動更新等功能停用,避免造成誤判。另外,還要記得把自動休眠或自動關機等功能停用,才能確定系統有在連線,因為有些機器休眠是真的會停掉網路連線以節省電力。

底下是我抓 Boox Nova 3 Color 封包的畫面,我們可以看到,最前面有些封包沒有顯示出來(直接傳送 TCP 封包,沒有看到 DNS 解析的動作,也有可能是程式便是 Hard Code IP Address,就不會看到解析 DNS 的封包,但前提是該 IP Address 必須永遠不變),但只要是對外的 IP,都可以去任何查詢封包網站,確定該 IP 來源,像編號 4883 的封包,便是送往中國騰訊的封包,當然我們不能說該封包有什麼問題?因為像文石系統或是其相關 App 可能會用到騰訊提供的 SDK 等工具來開發,可能某些情況下是需要連到該網站的,比如 AI 的推理在雲端等。

但我的習慣還是會裝 App 把它擋掉,反正就是把 Wireshark 抓到的封包都擋掉就是了,只要確定你不需要該服務。


2021/04/09 更新

差點都忘了 Windows 10 就有內建行動熱點功能!開啟它之後,電腦就會變成一台 AP,此時會長出另外一個無線網卡,我們只要針對該網卡 IP 抓取封包即可,以我的例子是 192.168.137.1,我們連 L2-Switch 和第二台 Wi-Fi AP 都不用準備了,完美。

沒有留言: