网络嗅探与身份验证

网络嗅探与身份验证

• • 网络嗅探与身份验证
• 实验目的
• 系统环境
• 网络环境
• 实验工具
• 实验原理
• 实验步骤和内容

实验目的

1、通过使用Wireshark软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉HTTP等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。
2、研究交换环境下的网络嗅探实现及防范方法，研究并利用ARP协议的安全漏洞，通过Arpspoof实现ARP欺骗以捕获内网其他用户数据。
、能利用BrupSuite实现网站登录暴力获得登录密码。
4、能实现ZIP密码，理解安全密码的概念和设置。

系统环境

Kali Linux 2、Windows

网络环境

交换网络结构

实验工具

Arpspoof、WireShark、BurpSuite、fcrackzip（用于zip密码）。

实验原理

网络嗅探
1、网络嗅探概述
Sniffer（嗅探器）工作在OSI模型的第二层，利用计算机的网卡截获网络数据报文的一种工具，可用来监听网络中的数据，分析网络的流量，以便出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器确定不同网络协议、不同用户的通信流量，相互主机的报文传送间隔时间等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。
在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：帧的目标区域具有和本地网络接口相匹配的硬件地址；帧的目标区域具有“广播地址”。
如果网卡处于混杂（promiscuous）模式，那么它就可以捕获网络上所有的数据帧，处于对网络的“监听”状态，如果一台机器被配置成这样的方式，它（包括其软件）就是一个嗅探器。
在交换型以太网中，上述条件2是不满足的。所有的主机连接到SWITCH，SWITCH比HUB更聪明，它知道每台计算机的MAC地址信息和与之相连的特定端口，发给某个主机的数据包会被SWITCH从特定的端口送出，而不是象HUB那样，广播给网络上所有的机器。这种传输形式使交换型以太网的性能大大提高，同时还有一个附加的作用：使传统的嗅探器无法工作。
交换型网络环境嗅探的核心问题是：如何使本不应到达的数据包到达本地。通常的方法有MAC洪水包和ARP欺骗。其中MAC洪水包是向交换机发送大量含有虚构MAC地址和IP地址的IP包，使交换机无法处理如此多的信息，致使交换机就进入了所谓的打开失效模式，也就是开始了类似于集线器的工作方式，向网络上所有的机器广播数据包。
2、ARP欺骗
本实验中，我们将要详细分析ARP欺骗模式，并通过ARP欺骗达到交换网络嗅探的目的。
每一个主机都有一个ARP高速缓存，此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。如果本机想与某台主机通信，则首先在ARP高速缓存中查此台主机的IP和MAC信息，如果存在，则直接利用此MAC地址构造以太帧；如果不存在，则向本网络上每一个主机广播一个ARP请求报文，其意义是如果你有此IP地址，请告诉我你的MAC地址，目的主机收到此请求包后，发送一个ARP响应报文，本机收到此响应后，把相关信息记录在ARP高速缓存中，以下的步骤同上。
ARP报文格式
可以看出，ARP协议是有缺点的，第三方主机可以构造一个ARP欺骗报文，而源主机却无法分辨真假。如果发送者硬件地址字段填入攻击者的硬件地址，而发送者IP地址填入被假冒者的IP地址，那么就构造出了一个用于欺骗的ARP请求报文。那么被欺骗主机的ARP高速缓存，被假冒者的IP地址与其MAC地址的对应关系就会更改为欺骗者的，从而达到ARP欺骗的目的。特别的，如果攻击者冒充网关，将转发子网内到外网的所有通信量，以达到捕获其他主机的通信量，从而破坏数据传输的保密性。
、密码（口令，Password）安全
在现实网络中，攻击事件发生的频率越来越高，其中相当多的都是由于网站密码泄露的缘故，或是人为因素导致，或是口令遭到，所以从某种角度而言，密码的安全问题不仅仅是技术上的问题，更主要的是人的安全意识问题。
.1、口令方法
口令主要有两种方法：字典和暴力。
字典是指通过者对管理员的了解，猜测其可能使用某些信息作为密码，例如其姓名、生日、电话号码等，同时结合对密码长度的猜测，利用工具来生成密码字典。如果相关信息设置准确，字典的成功率很高，并且其速度快，因此字典是密码的首选。
而暴力是指对密码可能使用的字符和长度进行设定后（例如限定为所有英文字母和所有数字，长度不超过8），对所有可能的密码组合逐个实验。随着可能字符和可能长度的增加，存在的密码组合数量也会变得非常庞大，因此暴力往往需要花费很长的时间，尤其是在密码长度大于10，并且包含各种字符（英文字母、数字和标点符号）的情况下。
.2、口令方式
口令主要有两种方式：离线和在线。
离线攻击者得到目标主机存放密码的文件后，就可以脱离目标主机，在其他计算机上通过口令程序穷举各种可能的口令，如果计算出的新密码与密码文件存放的密码相同，则口令已被。
. 候选口令产生器
候选口令产生器的作用是不断生成可能的口令。有几种方法产生候选口令，一种是用枚举法来构造候选口令（暴力），另一种方法是从一个字典文件里读取候选口令（字典）。
.4 口令加密
口令加密过程就是用加密算法对从口令候选器送来的候选口令进行加密运算而得到密码。这要求加密算法要采用和目标主机一致的加密算法。加密算法有很多种，通常与操作系统或应用程序的类型和版本相关。
Burp Suite是一个用于测试Web应用程序安全性的图形工具。该工具使用Java编写，由PortSwigger Security开发。该工具有两个版本。可免费下载的免费版（免费版）和试用期后可购买的完整版（专业版）。免费版本功能显着降低。它的开发旨在为Web应用程序安全检查提供全面的解决方案，Burp Suite是进行Web应用安全测试集成平台。它将各种安全工具无缝地融合在一起，以支持整个测试过程中，从最初的映射和应用程序的攻击面分析，到发现和利用安全漏洞。
实验步骤和内容：
网络嗅探部分：
网络嗅探：Wireshark 监听网络流量，抓包。
ARP欺骗： ArpSpoof，实施ARP欺骗。
防范： 防范arp欺骗。

                  实验网络拓扑

实验步骤和内容

1、A主机上外网，B运行sinffer(Wireshark)选定只抓源为A的数据)。

A主机：windows10 B主机：kali
首先查看B主机的ip地址：

确认A和B是否处于同一个网段：

1.1写出以上过滤语句。

ip.src==192.168.42.19

1.2B是否能看到A和外网的通信（A刚输入的帐户和口令）？为什么？

不能。主机A将数据发送至网关，没有经过主机B，所以B不能看到A和外网的通信。

2.1 为了捕获A到外网的数据，B实施ARP欺骗攻击，B将冒充该子网的什么实体？

在局域网中，B将冒充该子网的网关。

2.2 写出arpspoof命令格式。

已知主机A（被欺骗主机）的ip地址：192.168.4.19
主机B（攻击者）的ip地址：192.168.4.29
网关：192.168.4.192
arpspoof -i eth0 -t 192.168.4.19 192.168.4.192

需要开启端口转发，将截获到的数据包转发出去，否则被欺骗的主机无法上网：

2. B是否能看到A和外网的通信（A刚输入的帐户和口令）？
2.4 在互联网上到任意一个以明文方式传递用户帐号、密码的网站，截图Wireshark5它55中显示的明文信息。

打开wireshark开始抓包，然后在A上登录某网站：

抓取的数据包如下：

可以看到A输入的
账号：aaa
密码：11111

.FTP数据还原部分：利用WireShark打开实验实验数据data.pcapng。

.1FTP服务器的IP地址是多少？你是如何发现其为FTP服务器的？

由上图信息可知，192.168.182.12向192.168.182.1发送请求，192.168.182.1给192.168.182.12回应，由此可知FTP服务器的IP地址为192.168.182.1。

.2客户端登录FTP服务器的账号和密码分别是什么?

账号：student 密码：s46i5y

.客户端从FTP下载或查看了2个文件，一个为ZIP文件，一个为TXT文件，文件名分别是什么？

分析数据可看到文件：1.zip和复习题.txt

.4 还原ZIP文件并打开（ZIP有解压密码，试图，提示：密码全为数字，并为6位）。截图过程。fcrackzip -b -c1 -l 6 -u K.zip

在tcp数据包中根据zip文件头504B004到zip文件，以原始数据另存为K.zip。

打开发现需要密码：

使用ARCHPR进行爆破：

得到密码：12456
解压后得到ZIP文件内容：

.5 TXT文件的内容是什么？

网站密码部分：
利用人们平时常用的词、句破译，如果说暴力是一个一个的尝试那么字典破译就是利用人们习惯用人名、地名或者常见的词语设置成密码的习惯进行破译。字典破译速度比暴力破译更快但是有时候密码设置中包含了没有字典库中的词句就无法出来了，因此有好的字典是关键。
以*****为目标网站，构造字典（wordlist），其中包含你的正确密码，利用burpsuite进行字典攻击，实施字典攻击，你是如何判断某个密码为得到的正确密码，截图。

打开burpsuite抓包，在登陆界面随便输入一个密码，选择字典要替换的位置，也就是标出刚才输入密码的位置，send to
intruder，load导入创建的字典（）,然后开始爆破。一般Length长度与大多数数据包不同的就是正确的，故密码为password。

登陆成功，密码正确。

4、MD5
SqlMap得到某数据库用户表信息，用户口令的MD5值为7282C5050CFE7DF5E09ACA456B94AE
那么，口令的明文是什么？（提示：MD5值）

5、John the Ripper的作用是什么？

John the Ripper，是一个快速的密码工具，用于在已知密文的情况下尝试出明文的密码软件，支持大多数的加密算法。

思考问题：
1、谈谈如何防止ARP攻击。

双绑措施
双绑是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。
ARP个人防火墙
在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。

2、安全的密码（口令）应遵循的原则。

（1）不要选择任何和个人信息有关的口令； （2）不要选择短于6个字符或仅包含字母或数字； （）不要多个账号使用同一个密码。

、谈谈字典攻击中字典的重要性。

在密码或密钥时，逐一尝试用户自定义词典中的可能密码（单词或短语）的攻击方式。与暴力的区别是，暴力会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表（可能的密码）。