一 准备工作

安装好eve虚拟机,并且可以从网页访问。安装好wireshark。
从网页访问eve虚拟机页面
这里选择抓包,但并不会调取wireshark。需要配置以使网页能调取wireshark进行抓包。

二 相关配置

首先需要打开 http://EVE-NG地址/files/windows.zip下载UNL的Windows关联文件,假设你eve虚拟机的地址是192.168.1.40,则从网页直接打开http://192.168.1.40/files/windows.zip,会直接下载一个文件。解压后是一个UNetLab的文件,里面有很多注册表文件。

UNetLab文件夹中的文件
注意:plink.exe这个程序应该是没有的,如果没有需要你下载一个。
下面链接是64位系统的pink,https://the.earth.li/~sgtatham/putty/latest/w64/plink.exe

这些文件是关联putty,wireshark等程序的,关联wireshark只需要两个文件,win7_64bit_wireshark.reg或者win7_32bit_wireshark.reg和wireshark_wrapper.bat。如果你不想下载UNetLab这个文件,也可以自建win7_64bit_wireshark.reg或者win7_32bit_wireshark.reg和wireshark_wrapper.bat这两个文件。win7_64bit_wireshark.reg或者win7_32bit_wireshark.reg你用哪一个取决于你系统的位数。

win7_64bit_wireshark.reg的内容
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\capture]
@=“URL:UNetLab interface capture”
“URL Protocol”=""
[HKEY_CLASSES_ROOT\capture\shell]
[HKEY_CLASSES_ROOT\capture\shell\open]
[HKEY_CLASSES_ROOT\capture\shell\open\command]
@="“K:\UNetLab\wireshark_wrapper.bat” %1"

win7_32bit_wireshark.reg的内容
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\capture]
@=“URL:UNetLab interface capture”
“URL Protocol”=""
[HKEY_CLASSES_ROOT\capture\shell]
[HKEY_CLASSES_ROOT\capture\shell\open]
[HKEY_CLASSES_ROOT\capture\shell\open\command]
@="“K:\UNetLab\wireshark_wrapper.bat” %1"

wireshark_wrapper.bat的内容
*@ECHO OFF
SET USERNAME=“root”
SET PASSWORD="eve"

SET S=%1
SET S=%S:capture://=%
FOR /f “tokens=1,2 delims=/ " %%a IN (”%S%") DO SET HOST=%%a&SET INT=%%b
IF “%INT%” == “pnet0” SET FILTER=" not port 22"
ECHO “Connecting to %USERNAME%@%HOST%…”
"K:\UNetLab\plink.exe" -batch -ssh -pw %PASSWORD% %USERNAME%@%HOST% “tcpdump -U -i %INT% -s 0 -w -%FILTER%” | “E:\Program Files\Wireshark\Wireshark.exe” -k -i -

注意:加粗的部分要注意一下,关于程序路径的要根据程序在你电脑中的路径来写,wireshark_wrapper.bat中
SET USERNAME=“root”
SET PASSWORD=“eve”
这两行用户名和密码是你eve虚拟机的用户名和密码。
“K:\UNetLab\plink.exe” -batch -ssh -pw %PASSWORD% %USERNAME%@%HOST% “tcpdump -U -i %INT% -s 0 -w -%FILTER%” | “E:\Program Files\Wireshark\Wireshark.exe” -k -i - 其中-batch这个参数要注意一下,如果你在eve网页上调用wireshark时出现“Data written to the pipe is neither in a supported pcap”这个错误,则需要加上这个参数,这是因为数据还有传输给wireshark的时候,wireshark就去读数据了,所以会造成数据错误,一直失败。

文件修改完后,右键win7_64bit_wireshark.reg或者win7_32bit_wireshark.reg,合并。将里面的内容写入注册表中。在eve网页中点抓包

在这里插入图片描述
选择wireshark_warpper.bat,打开链接。
在这里插入图片描述

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐