网络嗅探与身份认证

实验目的：

1、通过使用Wireshark软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉HTTP等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。

2、研究交换环境下的网络嗅探实现及防范方法，研究并利用ARP协议的安全漏洞，通过Arpspoof实现ARP欺骗以捕获内网其他用户数据。

3、能利用BrupSuite实现网站登录暴力破解获得登录密码。

4、能实现ZIP密码破解，理解安全密码的概念和设置。

系统环境：Kali Linux 2、Windows

网络环境：交换网络结构

实验工具：Arpspoof、WireShark、BurpSuite、fcrackzip（用于zip密码破解）。

实验步骤和内容：

网络嗅探部分：

网络嗅探：Wireshark 监听网络流量，抓包。

ARP欺骗： ArpSpoof，实施ARP欺骗。

防范： 防范arp欺骗。

 

1、A主机上外网，B运行sinffer(Wireshark)选定只抓源为A的数据)。

1.1 写出以上过滤语句。

        ip.src == ipA

1.2 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站，B是否能看到A和外网（该网站）的通信（A刚输入的帐户和口令）？为什么？

        不能。以太网中主机A直接将数据发送至网关，并未经过B，所以B不能看到A和外网的通信。

2.1 为了捕获A到外网的数据，B实施ARP欺骗攻击，B将冒充该子网的什么实体？

        网关。

2.2 写出arpspoof命令格式。

        命令    arpspoof  [ -i  网卡]   [-t   目标IP ]   [网关]

IP转发   

echo 1 > /proc/sys/net/ipv4/ip_forward    1为开启，0为关闭

2.3 B是否能看到A和外网的通信（A输入的帐户和口令）？截图Wireshark中显示的明文信息。

        B能看到A和外网的通信，此时B相当于路由器。

2.4 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站，截图Wireshark中显示的明文信息。

 实施arp欺骗

①扫描本网段IP，确认目标主机IP

②查询网关，攻击机于目标主机处于同一子网中，所以网关是相同的

③ARP断网攻击

在攻击之前，目标主机的网络是通的，攻击成功后，目标主机断网,上网“请求超时”，说明断网攻击成功了。这里可以去目标主机去进一步验证

④ARP欺骗

在使用arp欺骗前先开启Kali的IP转发，

使用命令：echo 1 > /proc/sys/net/ipv4/ip_forward

/proc/sys/net/ipv4/ip_forward是配置文件，默认内容为0，表示IP转发是关闭的，，使用上述命令将该配置文件的内容改写为1，表示开启IP转发。开启IP转发后 流量会经过kali的主机而后再去到目标所以这时开启arpspoof 那么目标就不会断网，因为流量通过了kali主机那么我们就可以拦截相关数据。

 

         开启IP转发之后，再进行欺骗，目标主机能联网，此时kali可拦截相关目标主机相关信息，开启wireshark可以抓取目标的上网数据。

3. FTP数据还原部分：利用WireShark打开实验实验数据data.pcapng。

3.1 FTP服务器的IP地址是多少？你是如何发现其为FTP服务器的？

        IP地址是192.168.182.1。用Winshark打开，选择过滤FTP，看到FTP服务器响应请求，可以推测得到IP地址。

3.2客户端登录FTP服务器的账号和密码分别是什么?

        账号 student  密码 sN46i5y

 

3.3 客户端从FTP下载或查看了2个文件，一个为ZIP文件，一个为TXT文件，文件名分别是什么？提示：文件名有可能是中文。

        1.zip 和 复习题.txt

3.4 还原ZIP文件并打开（ZIP有解压密码，试图破解，提示：密码全为数字，并为6位）。截图破解过程。

       破解得到密码：123456

步骤

过滤传输的文件，过滤器选择 ftp-data

 选中数据包，追踪TCP流

选择以原始数据形式展示数据，数据开始字节是504b,进一步证实了这个是.zip文件， 保存为.zip文件。

 用暴力破解工具暴破保存的zip文件，得到密码。打开文件，有一张企鹅的图片

 

 

 3.5 TXT文件的内容是什么？

        同样，追踪TCP流，看到文本内容

 

4、MD5破解

    SqlMap得到某数据库用户表信息，用户口令的MD5值为7282C5050CFE7DF5E09A33CA456B94AE

那么，口令的明文是什么？（提示：MD5值破解）

        明文是：iampotato 。找一个MD5的解密工具或网站即可

5.John the Ripper的作用是什么？

John the Ripper免费的开源软件，是一个快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持目前大多数的加密算法，如DES、MD4、MD5等。它支持多种不同类型的系统架构，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不够牢固的Unix/Linux系统密码。

思考问题：

1. 谈谈如何防止ARP攻击。

ARP双向绑定，在pc端IP+ma绑定，在网络设备（交换路由）上采用ip+mac+端口绑定，网关也进行IP和mac的静态绑定；采用支持ARP过滤的防火墙；

建立DHCP服务器，ARP攻击一般先攻击网关，将DHCP服务器建立在网关上；

划分安全区域，ARP广播包是不能跨子网或网段传播的，网段可以隔离广播包。

采用其他协议（如：PPPoE）传送地址信息。

1. 安全的密码（口令）应遵循的原则。

（1）复杂性：长度在8~12位之间；使用数字＋大小写字母或特殊字符组合；同时避免连续的数字或者连续的字母的密码；不要使用电话，生日，人名，身份证等别人容易知道的信息作为密码

（2）定期更改：防止被撞库，或者对面用暴力方式持续破解。

（3）容易记忆：防止总是忘记密码，造成损失。

1. 谈谈字典攻击中字典的重要性。

在破解密码或密钥时，逐一尝试攻击用户自定义词典中的可能密码的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典攻击会使用一个预定好的单词列表，字典攻击尝试的次数会少于暴力破解。字典攻击的核心就是字典中的口令集，口令集越全面，破解成功的可能性就越大。