《(网络空间安全技术实践)4.1网络系统用户口令抓包分》由会员分享,可在线阅读,更多相关《(网络空间安全技术实践)4.1网络系统用户口令抓包分(20页珍藏版)》请在金锄头文库上搜索。
1、网络空间安全技术实践教程,吕秋云,王小军,胡耿然,汪云路,王秋华 西安电子科技大学出版社,第二篇 密码学实验篇,第四章 密码学应用分析实验 4.1网络系统用户口令抓包分析,网络空间安全技术实践教程,2,4.1网络系统用户口令抓包分析,实验目的: 本实验主要熟悉Wireshark软件的使用,并利用wireshark软件抓取数据包,分析常用邮箱,常用网站和常用即时聊天工具对登录的用户口令的保护技术。,网络空间安全技术实践教程,3,实验要点说明:(实验难点说明) wireshark的使用 了解密码学在用户口令加密中的应用,网络空间安全技术实践教程,4,4.1网络系统用户口令抓包分析,实验准备: (实
2、验环境,实验先有知识技术说明) 操作系统windows 7及以上 Wireshark (版本2.2.1) QQ8.9(20026) 对OSI七层参考模型有初步了解,网络空间安全技术实践教程,5,4.1网络系统用户口令抓包分析,实验步骤: 1)Wireshark使用方法 正确安装wireshark后,开启程序。会出现如图4-1-1所示选择接口界面,选择要捕获的接口,实验演示电脑使用无线网络连接,所以选取无线网络连接接口。 开始抓包后,程序界面如图4-1-2,不断有新的数据包被捕获,想要直接发现目标数据包很困难,这时可以在页面上方的“应用显示过滤器”栏中输入一定规则的表达式进行筛选。,网络空间安全
3、技术实践教程,6,4.1网络系统用户口令抓包分析,实验步骤: 1)Wireshark使用方法 表达式可以是网络协议,如DNS,HTTP,TCP等,此时显示界面如图4-1-3。表达式也可以是源ip地址或目标ip地址,此时表达式为ip.src或ip.dst;并且可以通过and连接符构造更加复杂的表达式,如源ip地址为192.168.1.112且采用tcp协议的数据包的表达式为 “ip.src=192.168.1.112 and tcp”,如图4-1-4。,网络空间安全技术实践教程,7,4.1网络系统用户口令抓包分析,实验步骤: 2)某高校校园网用户口令抓包分析 开启wireshark后登录某高校校
4、园网。暂停wireshark捕获,发现捕获到了上千个数据包,此时使用应用显示过滤器进行过滤。首先利用windows自带的cmd命令行ping登陆页面域名获取对应ip,如图4-1-5。得到ip为xx.xx.123.181,在wireshark应用显示过滤器中输入表达式“http & ip.dst=xx.xx.123.181”进行过滤,其中“http”表示使用了http协议,ip.dst表示数据包目标ip地址。,网络空间安全技术实践教程,8,4.1网络系统用户口令抓包分析,实验步骤: 2)某高校校园网用户口令抓包分析 观察如图4-1-6所示过滤后的数据包,但我们仍然需要在其中找出发送登录数据的数据
5、包,可以通过观察Info列下的信息,发现 “POST /cas/login HTTP/1.1 (application/x-www-form-urlencoded)” ,请求方式为POST,请求URL与登录页面详细,于是双击该行,弹出如图4-1-7所示包含数据包详细信息的窗口,窗口上半部分根据每层协议而划分,可以发现网络层使用了IPV4,传输层采用了TCP协议,应用层采用HTTP协议,HTML Form URL Rncoded : application/x-www-form-urlencoded 表示以键值对的形式上传数据。窗口下半部分为16进制形式的数据包,以及对应的ASCII码。,网络空
6、间安全技术实践教程,9,4.1网络系统用户口令抓包分析,实验步骤: 2)某高校校园网用户口令抓包分析 如图4-1-7所示,可以发现存在username 和password 数据,即为用户登录的用户名和密码,且用户名为明文传输,密码经过加密处理后传输。经过初步分析,该用户的password经过MD5的处理。,网络空间安全技术实践教程,10,4.1网络系统用户口令抓包分析,实验步骤: 3)网易163免费邮箱用户口令抓包分析 开启wireshark后登录163免费邮箱,暂停wireshark捕获。通过表达式过滤掉无关数据包,使用表达式“http.request.method=”POST“”,在几乎没
7、有其他请求干扰的情况下,可以快速找到登录的数据包,如图4-1-8。,网络空间安全技术实践教程,11,4.1网络系统用户口令抓包分析,实验步骤: 3)网易163免费邮箱用户口令抓包分析 编号最小的数据包,是最先发送的数据包,由此可以确定编号为487的分组中含有用户的用户名和密码,如图4-1-9。但是在HTML Form URL Rncoded 项中只发现了一个值为XML格式的键值对,且其中没有明显包含用户名和密码。但在HTTP协议下的truncated中可以发现cookie含有很多键值对,通过观察发现多处键值对含有用户名信息,但无法找到密码。说明网站通过其他方式将密码传递给后台进行账号验证,此行
8、为可以有效避免用户信息外泄。,网络空间安全技术实践教程,12,4.1网络系统用户口令抓包分析,实验步骤: 4)QQ用户口令抓包分析 QQ采用自己设计的协议,所以依靠wireshark捕获数据包只能获取到数据包的原始数据,无法分析具体内容,如图4-1-10。,网络空间安全技术实践教程,13,4.1网络系统用户口令抓包分析,实验步骤: 4)QQ用户口令抓包分析 通过在wireshark界面对数据包右键-追踪流-追踪UDP流,可以追踪UDP的往来数据包,如图4-1-11及4-1-12。,网络空间安全技术实践教程,14,4.1网络系统用户口令抓包分析,实验步骤: 4)QQ用户口令抓包分析 腾讯没有公开
9、QQ协议,网上对QQ协议分析的文章有限,我们只能分析一部分协议内容。如图4-1-12,发现所有UDP流都由02开头,02是QQ的报头,代表该包要执行某条指令,02是常用的包头,几乎包含用户要使用的所有功能,但也存在其他包头。第二个字节为37 0f 代表QQ的版本,本实验中使用QQ8.9(20026)版,下2个字节为08 25,代表要执行的命令,客户端首次与服务器接触便会发送此命令,下2个字节为5e 0b为该包的序列号,下4个字节为20 3b 37 c9 为用户QQ号,余下内容为秘钥和加密后的内容等信息,数据包由03代表结束。 可以发现由产品自己设计的协议和加密算法对用户信息的保护更加有效。,网
10、络空间安全技术实践教程,15,4.1网络系统用户口令抓包分析,实验步骤: 5)分析与思考 请网络搜索,试着分析网络系统用户登录时的用户名和密码进行保护的技术都有哪些? Wireshark的工作原理是什么?,网络空间安全技术实践教程,16,4.1网络系统用户口令抓包分析,实验结果要求 本实验要求使用wireshark对4个网络系统(选择2个不同于教材的网络系统)登录时用户的账号密码进行抓包分析,熟练使用wireshark软件,对网络协议中的密码学理论的应用有初步的认识。,网络空间安全技术实践教程,17,4.1网络系统用户口令抓包分析,实验报告要求 实验报告要求有封面,实验目的,实验环境,实验结果及分析;其中实验结果与分析主要描述你使用wireshark抓包的过程(参看本节实验教程的格式),分析抓包结果、出现的问题和解决方法,得出的结论等。,网络空间安全技术实践教程,18,4.1网络系统用户口令抓包分析,实验扩展要求 选择本节实验教程中的“5)分析与思考”部分的来进行分析并回答,作为实验报告的一部分上交。,网络空间安全技术实践教程,19,4.1网络系统用户口令抓包分析,实验视频:,网络空间安全技术实践教程,20,4.1网络系统用户口令抓包分析,
