1.2如果只给你一段wireshark的数据包记录,例如pcap文件,你能区分它是从哪里采集的吗?可行性如何,难点主要在哪里
2.1打开你的手机热点,不设置密码,用wireshark观察舍友通过你的手机上HTTP网站,登录学校门户,打开淘宝购物等过程,描述你能看到什么,不能看到什么。
2.3如果这台手机可以被你操控,比如对舍友的信息流注入点什么,那么你又能想到些什么呢?
内容介绍
1. 使用wireshark在教学楼,咖啡店(或其他提供顾客Wi-Fi的营业性公共场所),寝室三类地点静默观察能听到的数据包,观察wireshark对它的分层解析,尽可能多的描述你看到了什么,以及这三类地方数据包的不同。如果只给你一段wireshark的数据包记录,例如pcap文件,你能区分它是从哪里采集的吗?可行性如何,难点主要在哪里。
2. 打开你的手机热点,不设置密码,用wireshark观察舍友通过你的手机上HTTP网站,登录学校门户,打开淘宝购物等过程,描述你能看到什么,不能看到什么。讲讲你作为信息安全专业人士,想到了什么?如果这台手机可以被你操控,比如对舍友的信息流注入点什么,那么你又能想到些什么呢?
问题1
1.1使用wireshark在教学楼,咖啡店(或其他提供顾客Wi-Fi的营业性公共场所),寝室三类地点静默观察能听到的数据包,观察wireshark对它的分层解析,尽可能多的描述你看到了什么,以及这三类地方数据包的不同。
在教学楼:
使用 Wireshark 工具在教学楼中捕获数据包,我们可能会看到以下类型的数据包:
- ARP 请求和响应:ARP 协议用于将 IP 地址映射到 MAC 地址,以便网络设备可以相互通信。在教学楼中,我们可能会看到大量的 ARP 请求和响应,因为设备之间需要进行地址解析。
- DNS 请求和响应:DNS 协议用于将域名映射到 IP 地址,以便设备可以访问特定的网站或服务。在教学楼中,我们可能会看到大量的 DNS 请求和响应,因为学生和教师需要访问各种网站和服务。
- HTTP 请求和响应:HTTP 协议用于在 Web 上传输数据。在教学楼中,我们可能会看到学生和教师使用浏览器访问各种网站和服务,并发送和接收 HTTP 请求和响应。
- ICMP 请求和响应:ICMP 协议用于在 IP 网络上传递错误和状态信息。在教学楼中,我们可能会看到一些 ICMP 请求和响应,例如网络不可达或主机不可达等。
在咖啡店:
使用 Wireshark 工具在咖啡店中捕获数据包,我们可能会看到以下类型的数据包:
- DHCP 请求和响应:DHCP 协议用于自动配置网络设备的 IP 地址和其他参数。在咖啡店中,我们可能会看到顾客设备通过 DHCP 协议请求 IP 地址,并收到 DHCP 服务器的响应。
- SSL/TLS 握手:SSL/TLS 协议用于在 Web 上进行加密通信。在咖啡店中,我们可能会看到顾客设备与 Web 服务器之间的 SSL/TLS 握手过程,以确保数据传输的安全性。
- HTTP 请求和响应:在咖啡店中,我们可能会看到大量的 HTTP 请求和响应,因为顾客在使用浏览器访问各种网站和服务。
- ARP 请求和响应:在咖啡店中,我们可能会看到一些 ARP 请求和响应,因为设备之间需要进行地址解析。
在寝室:
使用 Wireshark 工具在寝室中捕获数据包,我们可能会看到以下类型的数据包:
- P2P 文件共享数据包:在寝室中,学生可能会使用 P2P 文件共享软件下载和上传各种文件。我们可能会看到大量的 P2P 文件共享数据包,其中包括文件块、文件信息和控制信息等。
- 流媒体数据包:在寝室中,学生可能会使用各种流媒体服务观看视频或听音乐。我们可能会看到大量的流媒体数据包,其中包括视频或音频流数据、控制信息和媒体信息等。
- ICMP 请求和响应:在寝室中,我们可能会看到一些 ICMP 请求和响应,例如网络不可达或主机不可达等。
- DNS 请求和响应:在寝室中,学生可能会访问各种网站和服务,我们可能会看到大量的 DNS 请求和响应,以将域名解析为 IP 地址。
对比三个地点的数据包,我们可以看到以下不同点:
- 在教学楼中,大多数数据包都是 ARP、DNS、HTTP 和 ICMP 请求和响应。因为学生和教师需要在网络上浏览和访问各种网站和服务,并与其他设备进行通信。
- 在咖啡店中,我们可以看到大量的 DHCP、SSL/TLS、HTTP 和 ARP 请求和响应。因为顾客需要使用 Wi-Fi 访问互联网,并与其他设备进行通信。
- 在寝室中,大多数数据包都是 P2P 文件共享和流媒体服务的数据包。因为学生需要下载和上传各种文件,并使用流媒体服务观看视频或听音乐。
1.2如果只给你一段wireshark的数据包记录,例如pcap文件,你能区分它是从哪里采集的吗?可行性如何,难点主要在哪里
如果只给我一段 Wireshark 数据包记录,例如 pcap 文件,我可以尝试区分它是从哪里采集的,但这需要更多的信息和分析。
首先,我需要分析数据包中的各个层次,例如以太网帧、IP 数据报和传输层协议。然后,我可以查看数据包中的源 IP 和目标 IP 地址,以确定数据包是从哪个网络设备发送的。我还可以查看源 MAC 和目标 MAC 地址,以确定数据包是从哪个网络设备发送的。
如果 pcap 文件包含足够的数据包,我可以尝试确定数据包的来源。例如,如果 pcap 文件包含大量的 ARP 请求和响应,我可能会认为数据包来自于教学楼。如果 pcap 文件包含大量的 DHCP 请求和响应,我可能会认为数据包来自于咖啡店。如果 pcap 文件包含大量的 P2P 文件共享和流媒体服务数据包,我可能会认为数据包来自于寝室。
但是,这种方法并不是完全准确的。因为不同的网络环境中可能存在相同类型的数据包。而且,在网络中使用加密和隧道技术时,可能无法轻易地确定数据包的来源。确定数据包来源的方法并不是绝对准确的,这取决于 pcap 文件中包含的数据包数量、类型和其他因素。但是,根据 pcap 文件中的数据包,我们可以尝试猜测数据包来源的可能性。
例如,假设我们有一个 pcap 文件,其中包含大量的 DNS 请求和响应、HTTP 请求和响应、ARP 请求和响应。这些数据包的源 IP 和目标 IP 地址都属于同一个 IP 地址段,但我们不知道这个 IP 地址段属于哪个地方。
如果我们注意到数据包中有大量的 HTTP 请求和响应,并且源 IP 和目标 IP 地址与某个咖啡店的 IP 地址段相匹配,那么我们可能会认为这个 pcap 文件来自某个咖啡店。如果我们注意到数据包中有大量的 P2P 文件共享和流媒体服务的数据包,并且源 IP 和目标 IP 地址与某个学生宿舍的 IP 地址段相匹配,那么我们可能会认为这个 pcap 文件来自某个学生宿舍。
当然,这种猜测方法存在一些限制和难点。例如,如果 pcap 文件中的数据包数量有限,那么我们可能需要更多的数据包来做出更准确的判断。而且,网络中可能存在多个咖啡店或学生宿舍,这可能会导致我们无法确定数据包的确切来源。此外,如果网络中使用了加密和隧道技术,那么我们可能无法准确地确定数据包的来源。
问题2:
2.1打开你的手机热点,不设置密码,用wireshark观察舍友通过你的手机上HTTP网站,登录学校门户,打开淘宝购物等过程,描述你能看到什么,不能看到什么。
- 当使用Wireshark监听舍友通过我的手机热点上的HTTP网站,登录学校门户,打开淘宝购物等过程时,我能够看到以下信息:
- HTTP请求和响应的详细内容,包括URL、请求方法、请求头、响应头、响应正文等。
- 每个数据包的源IP地址和目标IP地址,以及使用的端口号。
- 对于HTTP请求,我还能够看到提交的表单数据、搜索关键词等。
- 对于HTTPS请求,Wireshark将无法解密请求和响应正文,但可以查看HTTPS握手过程的详细信息,包括TLS版本、加密算法、证书等。
- 由于我的手机热点没有设置密码,其他人也可以通过Wireshark轻松地监听和截获这些数据包,从而获取到和我舍友发送和接收的所有敏感信息。
这里我运用了一款GitHub上的程序:alandau/arpspoof: A simple ARP spoofer for Windows (github.com) ,该程序可以进行ARP欺骗且使用起来十分方便简单。
我将我的手机热点打开,将电脑和平板都连接至手机热点,查看自己的平板的ip,根据该程序的使用说明文档在cmd命令行输入以下指令:
开启wireshark,选择WLAN开始抓包;
例子2.1.1:
用平板登录湖南大学个人门户网站,在wireshark中添加http过滤器:
可以看到这里已经可以看到请求这个页面了;
登录个人门户,找到POST包:
在包中我们可以看到我们的账号和加密后的密码:
例子2.1.2:
用平板登录http://127.27.17.78/hnuysh/
可以看到这里就有请求页面的请求了;
输入账号密码,找到post包:
这个网站是没有对密码加密的,可以直接在数据包中看到账号密码:
2.2讲讲你作为信息安全专业人士,想到了什么?
- 缺乏加密:因为我的手机热点没有设置密码,所以任何人都可以连接并监听这个热点上的流量。这意味着任何人都可以轻松地截获用户发送的所有敏感数据,例如用户名、密码、信用卡号等。
- 缺乏身份验证:如果我的舍友使用的是公共网络,例如Wi-Fi咖啡馆或学校的Wi-Fi,那么他们无法确定他们正在连接到一个可信的网络。这意味着他们的流量可能被拦截或中间人攻击,从而导致他们的数据泄露或被篡改。
- 缺乏安全意识:大多数人都不了解网络安全的基本原则,例如不要在未加密的网络上发送敏感信息。这可能导致用户在不知不觉中泄露敏感信息。
2.3如果这台手机可以被你操控,比如对舍友的信息流注入点什么,那么你又能想到些什么呢?
- 中间人攻击:我可以截获舍友发送的所有流量,并且能够在他们和服务器之间注入恶意数据。例如,我可以修改网页上的表单,将用户输入的密码发送到我的服务器上,或者重定向用户到恶意网站。
- ARP欺骗:我可以通过欺骗我的舍友的网络,使得他们的所有流量都通过我的电脑。这样,我就可以截获所有的流量,并将其重定向到我的恶意服务器上,而他们将无法察觉到这个攻击。另外,无线接入点欺骗攻击还可以用于中间人攻击。攻击者可以使用一个欺骗AP来伪装成合法的无线接入点,将其置于目标网络中,并将目标设备的流量重定向到欺骗AP。然后,攻击者可以拦截流量、修改数据包内容、注入恶意软件等,从而窃取用户的信息和数据。为了防止中间人攻击,安全专业人士应该使用加密协议来保护通信,例如HTTPS、SSH、SSL/TLS等,以及实施证书验证机制,确保通信的安全性和完整性。
- 获取敏感信息并修改:例如在第二个例子中,我可以直接抓到带有账号密码的数据包,这其实是一件很可怕的一件事情。如果在学习那门课程时,有恶意学生想要搞破坏,那么他可以用各种手段获取到该数据包,获取密码之后可以对受害同学的密码做出修改,甚至可以将他的习题答案做出修改,使他的平时分降低!
综上所述,保护个人网络的安全非常重要。使用安全协议、实施安全措施、对网络安全威胁保持警惕,都是保护个人隐私和网络安全的有效方式。
1102
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
