抓包实例分析一.实验目的1. 初步掌握Wireshark的使用措施,熟悉其基本设立,特别是Capture Filter和Display Filter 的使用2. 通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络合同的理解,如:TCP、UDP、IP、SMTP、POP、FTP、TLS等3. 进一步培养理论联系实际,知行合一的学术精神二. 实验原理1. 用Wireshark软件抓取本地PC的数据包,并观测其重要使用了哪些网络合同2. 查找资料,理解有关网络合同的提出背景,帧格式,重要功能等3. 根据所获数据包的内容分析有关合同,从而加深对常用网络合同理解三. 实验环境1. 系统环境:Windows 7 Build 71002. 浏览器:IE83. Wireshark:V 1.1.24. Winpcap:V 4.0.2四. 实验环节1. Wireshark简介Wireshark(原Ethereal)是一种网络封包分析软件其重要功能是撷取网络封包,并尽量显示出最为具体的网络封包资料其使用目的涉及:网络管理员检测网络问题,网络安全工程师检查资讯安全有关问题,开发者为新的通讯协定除错,一般使用者学习网络合同的有关知识……固然,有的人也会用它来寻找某些敏感信息。
值得注意的是,Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示然而,仔细分析Wireshark撷取的封包可以协助使用者对于网络行为有更清晰的理解Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯 Wireshark自身也不会送出封包至网络上2. 实例实例1:计算机是如何连接到网络的?一台计算机是如何连接到网络的?其间采用了哪些合同?Wireshark将用事实告诉我们真相如图所示:图一:网络连接时的部分数据包如图,一方面我们看到的是DHCP合同和ARP合同DHCP合同是动态主机分派合同 (Dynamic Host Configuration Protocol)它的前身是 BOOTPBOOTP可以自动地为主机设定TCP/IP环境,但必须事先获得客户端的硬件地址,并且,与 其相应的IP地址是静态的DHCP是 BOOTP 的增强版本,涉及服务器端和客户端所有的IP网络设定数据都由DHCP服务器集中管理,并负责解决客户端的 DHCP 规定;而客户端则会使用从服务器分派下来的IP环境数据。
ARP合同是地址解析合同 (Address Resolution Protocol)该合同将IP地址变换成物理地址以以太网环境为例,为了对的地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组合同就是ARP合同让我们来看一下数据包的传送过程:数据包No.1:当 DHCP 客户端(本地PC)第一次登录网络的时候,它会网络发出一种 DHCP DISCOVER 封包由于客户端还不懂得自己属于哪一种网络,因此封包的来源地址会为0.0.0.0,而目的地址则255.255.255.255,然后再附上 DHCP discover 的信息,向网络进行广播数据包No.2:当 DHCP 服务器(本地路由器)监听到客户端发出的 DHCP discover 广播后,它会从那些还没有租出的地址范畴内,选择最前面的空置 IP ,连同其他 TCP/IP 设定,响应给客户端一种 DHCP OFFER 封包数据包No.3:客户端向网络发送一种 ARP 封包,查询服务器物理地址 数据包No.4:服务器端返回一种ARP 封包,告诉客户端它的物理地址。
数据包No.5:由于Windows 7 支持IP V6 ,因此DHCP V6合同也开始工作……数据包No.51:通过ARP合同,服务器端最后也获得了客户端的网络地址到此为止,我觉得客户端(本地PC)的已完毕网络注册现将客户端(本地PC)和服务器端(本地路由器)有关参数展示如下:图二:客户端(本地PC)有关参数图三:服务器端(本地路由器)有关参数实例2:你的密码安全吗?随着Internet的普及,越来越多的人开始拥有越来越多的密码小到,MSN,E-mail等,大到支付宝,信息管理系统等,可是一种核心问题是:你的密码安全吗?让我们来看看下面几种例子Test 1:FTP工具软件这里,我们采用的FTP工具软件是FlashFXP V3.7.8登陆时抓包如下:图四:FlashFXP登陆时的部分数据包一方面,我们来看一下常用到的三个合同:SSDP、DNS和 FTP SSDP合同是简朴服务发现合同(Simple Service Discovery Protocol),该合同定义了如何在网络上发现网络服务的措施SSDP信息的传送是依托HTTPU和HTTPMU进行的不管是控制指针,或是UPnP设备,工作中都必然用到SSDP,设备接入网络之后,要运用它向网络广播自己的存在,以便尽快与相应的控制指针建立联系。
设备运用SSDP的方式是“收听”来自网络端口的消息,从中发现与自己匹配的信息,一旦找到与自己匹配的信息,经由HTTPMU来发送一种响应信息到控制指针 DNS是域名服务器 (Domain Name Server)在Internet上域名与IP地址之间可以是一一相应的,域名虽然便于人们记忆,但机器之间只能互相结识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完毕,DNS就是进行域名解析的服务器FTP是文献传播合同(File Transfer Protocol),用于Internet上的文献的双向传播顾客可以通过FTP工具软件它把自己的PC机与世界各地所有运营FTP合同的服务器相连,访问服务器上的大量程序和信息FTP的重要作用,就是让顾客连接上一种远程计算机(这些计算机上运营着FTP服务器程序),查看远程计算机有哪些文献,然后把文献从远程计算机上下载到本地计算机,或把本地计算机的文献上传到远程计算机目前让我们来看看工作流程:数据包No.1:本地PC机(数据包中表达为ipv6地址)通过SSDP合同向本地路由器发送消息数据包No.2:本地路由器通过SSDP合同向非路由地址(IANA)发送消息。
……数据包No.13:本地PC机(192.168.1.100)向DNS服务器(218.30.19.50)发送查询祈求,规定解析域名数据包No.14:DNS服务器返回祈求,的ip地址为:210.31.141.46经查,DNS服务器(218.30.19.50)在西安本地,而(210.31.141.46)在天津科技大学……数据包No.21:通过FTP合同,本地计算机与FTP服务器建立连接让人非常兴奋同步又非常沮丧的是:Wireshark不仅抓到了登陆顾客名和密码,并且还抓到了传送的文献信息如下图所示:图五:Wireshark抓取的顾客名,密码和传送的文献信息Test 2:Koomail邮件客户端目前来看看我们常常使用的邮件服务的安全性又如何一方面,我们用网页方式登陆一种邮箱:,此时我们抓包如下:图六:以网页方式登陆邮箱时的部分数据包DNS合同我们已经非常熟悉了,目前来看看TCP合同和TLS合同TCP合同是传播控制合同(Transmission Control Protocol)它是一种面向连接的、可靠的、基于字节流的运送层(Transport layer)通信合同在简化的计算机网络OSI模型中,它完毕第四层传播层所指定的功能。
在因特网合同族(Internet protocol suite)中,TCP层是位于IP层之上,应用层之下的中间层TLS是安全传播层合同(Transport Layer Security Protocol),用于在两个通信应用程序之间提供保密性和数据完整性该合同由两层构成:TLS 记录合同(TLS Record)和 TLS 握手合同(TLS Handshake)TLS的最大优势在于:TLS独立于应用合同高层合同可以透明地分布在 TLS 合同上面由此可见,我们用网页方式登陆邮箱是比较安全的为什么我再三强调“用网页方式”呢?请看下面的抓包:图七:用Koomail邮件客户端接受邮件时的部分数据包目前又波及到了POP合同,哎,网络合同真是层出不穷啊POP3是邮局合同的第3个版本(Post Office Protocol 3),它是规定如何将个人计算机连接到Internet的邮件服务器以及如何下载电子邮件的电子合同POP3容许顾客从服务器上把邮件存储到本地主机上,同步删除保存在邮件服务器上的邮件显而易见地问题是:Koomail邮件客户端在连接到邮件服务器时,被Wireshark抓取到了顾客名和密码。
然而,更触目惊心的问题在下面:图八:TCP Stream分析看见了吧,在quoted-printable编码模式下,英文明文是可见的,还好中文明文是让人看不懂的目前我们用Koomail邮件客户端答复一封邮件,抓包如下:图九:用Koomail邮件客户端答复邮件时的部分抓包及数据分析还是先来看看SMTP合同吧SMTP合同是简朴邮件传播合同(Simple Mail Transfer Protocol)它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式通过SMTP合同所指定的服务器,我们就可以把E-mail寄到收信人的服务器上SMTP 是一种提供可靠且有效电子邮件传播的合同,它是建模在FTP文献传播服务上的一种邮件服务 再来看看我们从抓取的数据包中都获得了哪些信息发件人:收件人:发送时间:/6/2 17:58:52 星期二 时区是+0800仿佛是东八区吧)邮件客户端:Koomail V5.50MIME(多功能邮件扩大服务)版本:1.0编码方式:base64看来信息是相称的丰富啊但是邮件内容通过编码了,而不是像上文中的明文那样综上所述,FTP、POP3 和SMTP合同在安全性方面尚有一定的局限性之处。
我们的网络安全是如此的脆弱!实例3:看看小企鹅()每天都做了些什么直接上图:图十:腾讯登陆和使用时的部分数据包这些合同我们都已经非常熟悉了,并且wireshark把所用到的有关合同都称作oicp protocol经查,登陆时的服务器219.133.60.23和58.61.34.85都在深圳市——腾讯的大本营当我们进行聊天应用时,例如给重庆,成都的同窗发送信息,信息还得先跑去深圳绕一圈搞不懂腾讯为什么不在每个都市都设立服务器实例4:其实数据包是这个样子的说了这样久,但数据包的构造是怎么样的呢?谜底即将揭开,真相将大白于天下下面,我们随机抓取了一种数据包,看看它的构造图十一:数据包的构造part1我们可以获取如下信息:达到时间:6月2 日 17:22:44帧号(相对):7帧长度:74字节捕获帧长度:74字节 涉及合同:TCP/IP图十二:数据包的构造part2这应当是物理层的有关信息,涉及了源端和目的端的物理地址图十三:数据包的构造part3这是IP合同,我们可以。