eve网络模拟器使用wireshark抓包
一 准备工作安装好eve虚拟机,并且可以从网页访问。安装好wireshark。这里选择抓包,但并不会调取wireshark。需要配置以使网页能调取wireshark进行抓包。二 相关配置首先需要打开 http://EVE-NG地址/files/windows.zip下载UNL的Windows关联文件,假设你eve虚拟机的地址是192.168.1.40,则从网页直接打开http://192.168.
一 准备工作
安装好eve虚拟机,并且可以从网页访问。安装好wireshark。
这里选择抓包,但并不会调取wireshark。需要配置以使网页能调取wireshark进行抓包。
二 相关配置
首先需要打开 http://EVE-NG地址/files/windows.zip下载UNL的Windows关联文件,假设你eve虚拟机的地址是192.168.1.40,则从网页直接打开http://192.168.1.40/files/windows.zip,会直接下载一个文件。解压后是一个UNetLab的文件,里面有很多注册表文件。
注意:plink.exe这个程序应该是没有的,如果没有需要你下载一个。
下面链接是64位系统的pink,https://the.earth.li/~sgtatham/putty/latest/w64/plink.exe
这些文件是关联putty,wireshark等程序的,关联wireshark只需要两个文件,win7_64bit_wireshark.reg或者win7_32bit_wireshark.reg和wireshark_wrapper.bat。如果你不想下载UNetLab这个文件,也可以自建win7_64bit_wireshark.reg或者win7_32bit_wireshark.reg和wireshark_wrapper.bat这两个文件。win7_64bit_wireshark.reg或者win7_32bit_wireshark.reg你用哪一个取决于你系统的位数。
win7_64bit_wireshark.reg的内容
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\capture]
@=“URL:UNetLab interface capture”
“URL Protocol”=""
[HKEY_CLASSES_ROOT\capture\shell]
[HKEY_CLASSES_ROOT\capture\shell\open]
[HKEY_CLASSES_ROOT\capture\shell\open\command]
@="“K:\UNetLab\wireshark_wrapper.bat” %1"
win7_32bit_wireshark.reg的内容
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\capture]
@=“URL:UNetLab interface capture”
“URL Protocol”=""
[HKEY_CLASSES_ROOT\capture\shell]
[HKEY_CLASSES_ROOT\capture\shell\open]
[HKEY_CLASSES_ROOT\capture\shell\open\command]
@="“K:\UNetLab\wireshark_wrapper.bat” %1"
wireshark_wrapper.bat的内容
*@ECHO OFF
SET USERNAME=“root”
SET PASSWORD="eve"
SET S=%1
SET S=%S:capture://=%
FOR /f “tokens=1,2 delims=/ " %%a IN (”%S%") DO SET HOST=%%a&SET INT=%%b
IF “%INT%” == “pnet0” SET FILTER=" not port 22"
ECHO “Connecting to %USERNAME%@%HOST%…”
"K:\UNetLab\plink.exe" -batch -ssh -pw %PASSWORD% %USERNAME%@%HOST% “tcpdump -U -i %INT% -s 0 -w -%FILTER%” | “E:\Program Files\Wireshark\Wireshark.exe” -k -i -
注意:加粗的部分要注意一下,关于程序路径的要根据程序在你电脑中的路径来写,wireshark_wrapper.bat中
SET USERNAME=“root”
SET PASSWORD=“eve”
这两行用户名和密码是你eve虚拟机的用户名和密码。
“K:\UNetLab\plink.exe” -batch -ssh -pw %PASSWORD% %USERNAME%@%HOST% “tcpdump -U -i %INT% -s 0 -w -%FILTER%” | “E:\Program Files\Wireshark\Wireshark.exe” -k -i - 其中-batch这个参数要注意一下,如果你在eve网页上调用wireshark时出现“Data written to the pipe is neither in a supported pcap”这个错误,则需要加上这个参数,这是因为数据还有传输给wireshark的时候,wireshark就去读数据了,所以会造成数据错误,一直失败。
文件修改完后,右键win7_64bit_wireshark.reg或者win7_32bit_wireshark.reg,合并。将里面的内容写入注册表中。在eve网页中点抓包
选择wireshark_warpper.bat,打开链接。
更多推荐
所有评论(0)