Wireshark软件识别解析 Portal 报文方法(默认也抓取了portal报文,并不是说没有抓取,只是不解析而已)
缺省 wireshark 抓包工具无法解析 portal 认证交互报文(TCP 50100 和 UDP 2000),导致相关问题排查难度大。
比如下图中的 portal 报文,缺省 wireshark 工具无法解析 Data字段,即wireshark界面的Protocol那一列显示的不是portal。
对此情况,确保wireshark 软件已关闭的情况下,将文档附件下载解压后,将"portal.lua" 插件放入 wireshark 软件安装路径plugins文件夹下,比如 C:\Program Files\Wireshark\plugins 新版本还有4.2,如下图所示:
后续重新打开抓包文件,软件即可自动解析 portal 报文 Data字段内容。
wireshark界面的Protocol那一列显示的是portal,如下图所示:
将插件放入相关路径时,注意请使用管理员权限。
wireshark-portal 2.3.rar 的下载地址如下:
http://www.zh-cjh.com/uploads/allimg/20231031/1-23103123355JH.rar
相关知识点:
Portal认证简介
Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。Portal认证通常包含三个基本要素:客户端、接入设备、Portal服务器。
Portal认证的优点
a、一般情况下,客户端不需要安装额外的软件,直接在Web页面上认证,简单方便。
b、便于运营,可以在Portal页面上进行业务拓展,如广告推送、企业宣传等。
c、技术成熟,被广泛应用于运营商、连锁快餐、酒店、学校等网络。
d、部署位置灵活,可以在接入层或关键数据的入口作访问控制。
e、用户管理灵活,可基于用户名与VLAN/IP地址/MAC地址的组合对用户进行认证。
Portal重定向
Portal重定向可以实现终端访问HTTP或者HTTPS网站时,如果认证还未通过则自动弹出认证页面控制接入的功能。它的原理是设备拦截HTTP(默认80端口)或者HTTPS(默认443端口)TCP固定端口的流量,伪装成终端要访问的目的地址和终端建立TCP连接,将认证页面重定向给终端。通常重定向是Portal认证的第一阶段,但是也有客户端可以省略重定向过程直接向Portal服务器提交用户名和密码。
终端自动弹出Portal认证页面原理
无线终端连接无线网络后,均会先使用内部工具向指定服务器发送HTTP嗅探请求,用来探测无线网络是否有网络访问权限,对于Portal认证网络,设备会拦截终端内部工具发送的HTTP嗅探请求,并发送重定向页面给终端,终端内部工具判断该回应不是期望的回应,认为此无线网络是受控网络,后续会调用系统默认浏览器重新发送HTTP嗅探请求,设备继续拦截并发送重定向页面给终端,浏览器会被重定向到Portal认证页面,此即终端连接无线网络后自动弹出Portal认证页面原理。
Portal认证方式
按照网络中实施Portal认证的网络层次来分,Portal认证方式分为两种:二层认证方式和三层认证方式。
a、当客户端与接入设备之间为二层网络时,即客户端与接入设备直连(或之间只有二层设备存在),接入设备可以学习到客户端的MAC地址,则接入设备可以利用IP地址和MAC地址来识别用户,此时可配置Portal认证为二层认证方式。
二层认证流程简单,安全性高,但由于限制了用户只能与接入设备处于同一网段,所以组网灵活性不高。
b、当客户端与接入设备之间包含三层网络时,即客户端与接入设备之间存在三层转发设备,接入设备不能获取到认证客户端的MAC地址,只能以IP地址作为用户的唯一标识,此时需要将Portal认证配置为三层认证方式。
三层认证组网灵活,容易实现远程控制,但由于只能以IP地址作为用户的唯一标识,所以安全性不高。
Portal认证流程
认证的第一件事情就是发起认证,有两种认证触发方式:
a、主动认证
用户通过浏览器主动访问Portal认证网站时,即在浏览器中直接输入Portal服务器的网络地址,然后在显示的网页中输入用户名和密码进行认证,这种开始Portal认证过程的方式即为主动认证,即由用户自己主动访问Portal服务器发起的身份认证。
b、重定向认证
用户输入的访问地址不是Portal认证网站地址时,将被强制访问Portal认证网站(通常称为重定向),从而开始Portal认证过程,这种方式称作重定向认证。