数据包解析(Packet Analysis)是网络流量分析、安全审计和协议逆向工程中的关键技术,常用于识别通信内容、检测异常行为或进行故障排查。下面分别简要介绍你提到的常见协议(Telnet、FTP、SSH、VNC、RDP)以及工控协议(如IEC 60870-5-101/104)的数据包解析要点:
一、通用工具
- Wireshark:图形化抓包与解析工具,支持大量协议解码。
- tcpdump:命令行抓包工具,适合服务器环境。
- TShark:Wireshark 的命令行版本。
- Scapy(Python):可编程构造/解析数据包。
- Zeek(原Bro):用于高级网络日志与协议分析。
二、各协议解析要点
1. Telnet(端口 23)
- 明文传输:所有通信(包括用户名密码)均为明文。
- 解析重点:
- TCP 载荷直接可见 ASCII 字符。
- 可通过 Wireshark 的 “Follow TCP Stream” 查看完整会话。
- 安全风险:极易被中间人窃听。
2. FTP(端口 21 控制,20 或动态端口 数据)
- 控制连接 vs 数据连接:
- 控制连接(21):发送命令(USER, PASS, RETR 等)。
- 数据连接:传输文件内容(主动/被动模式)。
- 解析重点:
- 控制通道为明文,可看到账号密码。
- 数据通道需结合控制通道判断传输内容。
- 注意:FTP over TLS(FTPS)则加密,无法直接解析载荷。
3. SSH(端口 22)
- 加密协议:从密钥交换开始全程加密。
- 解析限制:
- 仅能解析握手阶段(SSH 协议版本、算法协商等)。
- 应用层数据(shell 命令、SFTP 文件)无法明文查看,除非有私钥且使用 Wireshark 解密(需配置
ssh.keys)。
- 安全建议:无法直接解析内容,但可通过流量模式(如连接频率、数据量)做行为分析。
4. VNC(通常端口 5900+)
- 远程桌面协议,常见实现:RealVNC、TightVNC。
- 认证方式:
- 早期版本:弱加密(DES),密码可爆破。
- 新版本:支持 TLS。
- 解析重点:
- 初始握手包含协议版本(如 "RFB 003.008\n")。
- 若未加密,可看到屏幕更新、键盘事件等 RFB 协议数据。
- Wireshark 支持基本 RFB 解析。
5. RDP(Remote Desktop Protocol,端口 3389)
- 微软专有协议,默认启用加密(TLS 或 CredSSP)。
- 解析难点:
- 现代 RDP 几乎全加密,无法直接解析应用层。
- 可识别连接建立、证书交换等 TLS 层信息。
- 若有服务器私钥,Wireshark 可部分解密(需配置 SSLKEYLOGFILE)。
- 流量特征:固定端口、高带宽、周期性心跳包。
三、工控协议解析
IEC 60870-5-101(串行链路,常用于电力系统)
- 特点:
- 面向串口(RS-232/485),但也可封装在 TCP(非标准)。
- 固定帧格式:起始字符(0x68)、长度、控制域、地址域、ASDU。
- 解析工具:
- Wireshark 插件(需加载 101 dissector)。
- 自定义脚本解析十六进制流。
- 关键字段:类型标识(TI)、可变结构限定词(VSQ)、信息对象地址(IOA)。
IEC 60870-5-104(基于 TCP 的 101 扩展,端口 2404)
- 封装方式:APCI(应用协议控制信息) + APDU(应用协议数据单元)。
- TCP 端口:2404。
- 解析重点:
- APCI 包含启动字符(0x68)、长度、控制域(启停、序号)。
- APDU 包含类型标识、传送原因、公共地址、信息体。
- Wireshark 支持:内置 104 协议解析器,可直接解析 ASDU 内容。
- 安全问题:无认证/加密,易受重放、篡改攻击。
示例:104 协议典型帧
68 0e 0e 00 02 00 64 01 06 00 01 00 00 00 00 7a 16
表示一个总召唤命令(Type ID = 100)。
四、实际操作建议
抓包命令示例(tcpdump):
# 抓取 104 协议 tcpdump -i eth0 port 2404 -w 104.pcap # 抓取 VNC 流量 tcpdump -i eth0 port 5900 -w vnc.pcapWireshark 过滤表达式:
tcp.port == 2404→ IEC 104rdp→ RDP 流量ftp || ftp-data→ FTPtelnet→ Telnet
自动化解析(Python + Scapy):
from scapy.all import * pkts = rdpcap("104.pcap") for pkt in pkts: if pkt.haslayer(TCP) and pkt[TCP].dport == 2404: print(pkt[TCP].payload)
五、安全与合规提醒
- 解析他人网络流量需获得授权,否则可能违法。
- 工控协议暴露在公网存在极高风险,建议部署防火墙、IDS(如 Suricata 规则检测 104 异常指令)。
)
