介绍
在本次挑战中,你将扮演 NetSec Solutions 公司的一名初级网络分析师,负责监控公司网络上的 IPv6 通信。你的目标是使用 Wireshark 捕获、过滤并记录 ICMPv6 ping 数据包,作为常规安全审计的一部分。
本次挑战将测试你使用 Wireshark 针对 IPv6 流量进行过滤的能力,使你能够识别并分析 ICMPv6 回显请求(echo request)和回显应答(echo reply)消息。通过完成此任务,你将展示在 IPv6 环境中验证网络运行状况所需的必备网络分析技能。
追踪 IPv6 流量模式
作为 NetSec Solutions 的初级网络分析师,你被指派监控公司网络上的 IPv6 通信。你的主管要求你隔离出 ICMPv6 ping 数据包,以便进行常规安全审计。你必须使用 Wireshark 捕获并记录这些特定的数据包,以协助验证网络运行是否正常。
任务
- 使用 Wireshark 应用显示过滤器,仅显示 ICMPv6 回显请求(Echo Request)和回显应答(Echo Reply)数据包。
- 将过滤后的捕获结果以
ipv6_ping.pcapng为文件名保存到项目目录中。
要求
首先,运行提供的脚本以启用 IPv6 并生成流量:
cd ~/project ./generate_ipv6_traffic.sh启动 Wireshark 并在活动网络接口上开始捕获数据包(你可以使用
any接口来捕获所有接口上的流量)。捕获一些数据包后,应用显示过滤器以仅显示 ICMPv6 回显请求和回显应答数据包(即 ping 数据包)。
你的过滤器必须精准针对 ICMPv6 ping 数据包,而不是所有的 ICMPv6 流量。
将过滤后的捕获文件保存为
~/project目录下的ipv6_ping.pcapng。确保你的捕获文件中至少包含 3 个回显请求或回显应答数据包。
示例
应用正确过滤器后,你的 Wireshark 显示界面可能如下所示:
No. Time Source Destination Protocol Length Info
1 0.000000 fe80::1 fe80::2 ICMPv6 104 Echo (ping) request
2 0.000123 fe80::2 fe80::1 ICMPv6 104 Echo (ping) reply
3 1.001234 fe80::1 fe80::2 ICMPv6 104 Echo (ping) request
4 1.001345 fe80::2 fe80::1 ICMPv6 104 Echo (ping) reply
在过滤后的视图中,应该只能看到 ICMPv6 回显请求和回显应答数据包。
提示
- 要仅查看 ICMPv6 ping 数据包,你需要使用专门针对回显请求和回显应答的显示过滤器。
- 尝试使用
icmpv6.type过滤器并配合相应的类型值。回显请求的类型值为 128,回显应答的类型值为 129。 - 你可以使用逻辑运算符(如
or)组合过滤器,以显示多种类型的数据包。 - 要保存捕获文件,请使用 Wireshark 菜单中的「文件」 > 「另存为」。
- 如果没有看到任何 IPv6 流量,请确保你已成功运行
generate_ipv6_traffic.sh脚本。
总结
在本次挑战中,我担任 NetSec Solutions 的初级网络分析师,负责监控公司网络上的 IPv6 通信。目标是使用 Wireshark 隔离并记录 ICMPv6 ping 数据包,以进行常规安全审计。这需要启用系统的 IPv6 功能、捕获网络流量并应用特定过滤器来识别 ping 流量。
挑战过程包括通过运行脚本设置环境以启用 IPv6 并生成测试流量,然后使用 Wireshark 捕获并过滤 ICMPv6 数据包。我学习了如何识别 IPv6 地址、为 ICMPv6 回显请求和应答应用显示过滤器,以及分析数据包详情以验证网络运行状况。这些技能对于现代 IPv4/IPv6 双栈环境中的网络监控和故障排除至关重要。
