简介
在本挑战中,你将扮演 NetSec Solutions 的初级网络分析师,负责监控企业网络中的 IPv6 通信。你的目标是使用 Wireshark 捕获、过滤并记录 ICMPv6 ping 数据包,作为日常安全审计的一部分。
本次挑战将测试你使用 Wireshark 针对 IPv6 流量进行过滤的能力,让你能够识别并分析 ICMPv6 回显请求(Echo Request)和回显应答(Echo Reply)消息。通过完成此任务,你将展示在 IPv6 环境中验证网络正常运行所需的基本网络分析技能。
追踪 IPv6 流量模式
作为 NetSec Solutions 的初级网络分析师,你被指派监控企业网络中的 IPv6 通信。你的主管要求你隔离出 ICMPv6 ping 数据包以进行日常安全审计。你必须使用 Wireshark 捕获并记录这些特定的数据包,以帮助验证网络是否正常运行。
任务
- 使用 Wireshark 应用显示过滤器,仅显示 ICMPv6 回显请求和回显应答数据包
- 将过滤后的捕获文件保存为
ipv6_ping.pcapng,并存放在项目目录中
要求
首先,运行提供的脚本以启用 IPv6 并生成流量:
cd ~/project ./generate_ipv6_traffic.sh启动 Wireshark 并在
lo接口上开始捕获数据包。如果any接口能在你的会话中清晰显示回环流量,也可以尝试使用它。捕获一些数据包后,应用显示过滤器,仅显示 ICMPv6 回显请求和回显应答数据包(即 ping 数据包)。
你的过滤器必须专门针对 ICMPv6 ping 数据包,而不是所有的 ICMPv6 流量。
仅将过滤后的 ICMPv6 ping 数据包保存为
~/project目录下的ipv6_ping.pcapng。在当前的 Wireshark 版本中,如果“另存为”对话框没有显示数据包范围选项,请使用File > Export Specified Packets...并选择Displayed。确保你的捕获文件中包含至少 3 个回显请求或回显应答数据包。
示例
应用正确的过滤器后,你的 Wireshark 显示界面可能如下所示:
No. Time Source Destination Protocol Length Info
1 0.000000 ::1 ::1 ICMPv6 118 Echo (ping) request
2 0.000081 ::1 ::1 ICMPv6 118 Echo (ping) reply
3 1.001204 ::1 ::1 ICMPv6 118 Echo (ping) request
4 1.001286 ::1 ::1 ICMPv6 118 Echo (ping) reply
在过滤后的视图中,应该只能看到 ICMPv6 回显请求和回显应答数据包。
提示
- 要仅查看 ICMPv6 ping 数据包,你需要使用专门针对回显请求和回显应答的显示过滤器。
- 尝试使用
icmpv6.type过滤器配合相应的类型值。回显请求的类型为 128,回显应答的类型为 129。 - 你可以使用逻辑运算符(如
or)组合过滤器,以显示多种数据包类型。 - 在此版本的 Wireshark 中,
File > Export Specified Packets...是保存过滤后数据包的可靠方法。如果你的“另存为”对话框包含数据包范围选项,请确保仅保存显示的数据包。 - 如果你没有看到任何 IPv6 流量,请确保已成功运行
generate_ipv6_traffic.sh脚本,并且你正在lo接口或其他显示回环流量的接口上进行捕获。
总结
在本挑战中,我扮演了 NetSec Solutions 的初级网络分析师,负责监控企业网络中的 IPv6 通信。目标是使用 Wireshark 隔离并记录 ICMPv6 ping 数据包,以进行日常安全审计。这需要系统启用 IPv6、捕获网络流量,并应用特定过滤器来识别 ping 流量。
挑战内容包括通过运行脚本启用 IPv6 并生成测试流量来搭建环境,然后使用 Wireshark 捕获并过滤 ICMPv6 数据包。我学习了如何识别 IPv6 地址、应用 ICMPv6 回显请求和应答的显示过滤器,以及分析数据包详情以验证网络是否正常运行。这些技能对于现代双栈 IPv4/IPv6 环境中的网络监控和故障排查至关重要。
