蒟蒻信安笔记2：网络嗅探与身份认证

一、网络嗅探与身份认证相关概念

1.网络嗅探概述

Sniffer（嗅探器）工作在OSI模型的第二层，利用计算机的网卡截获网络数据报文的一种工具，可用来监听网络中的数据，分析网络的流量，以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器确定不同网络协议、不同用户的通信流量，相互主机的报文传送间隔时间等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。
在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：帧的目标区域具有和本地网络接口相匹配的硬件地址；帧的目标区域具有“广播地址”。
如果网卡处于混杂（promiscuous）模式，那么它就可以捕获网络上所有的数据帧，处于对网络的“监听”状态，如果一台机器被配置成这样的方式，它（包括其软件）就是一个嗅探器。
在交换型以太网中，上述条件2是不满足的。所有的主机连接到SWITCH，SWITCH比HUB更聪明，它知道每台计算机的MAC地址信息和与之相连的特定端口，发给某个主机的数据包会被SWITCH从特定的端口送出，而不是象HUB那样，广播给网络上所有的机器。这种传输形式使交换型以太网的性能大大提高，同时还有一个附加的作用：使传统的嗅探器无法工作。
交换型网络环境嗅探的核心问题是：如何使本不应到达的数据包到达本地。通常的方法有MAC洪水包和ARP欺骗。其中MAC洪水包是向交换机发送大量含有虚构MAC地址和IP地址的IP包，使交换机无法处理如此多的信息，致使交换机就进入了所谓的"打开失效"模式，也就是开始了类似于集线器的工作方式，向网络上所有的机器广播数据包。

2.ARP欺骗

每一个主机都有一个ARP高速缓存，此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。如果本机想与某台主机通信，则首先在ARP高速缓存中查找此台主机的IP和MAC信息，如果存在，则直接利用此MAC地址构造以太帧；如果不存在，则向本网络上每一个主机广播一个ARP请求报文，其意义是"如果你有此IP地址，请告诉我你的MAC地址"，目的主机收到此请求包后，发送一个ARP响应报文，本机收到此响应后，把相关信息记录在ARP高速缓存中，以下的步骤同上。

可以看出，ARP协议是有缺点的，第三方主机可以构造一个ARP欺骗报文，而源主机却无法分辨真假。如果发送者硬件地址字段填入攻击者的硬件地址，而发送者IP地址填入被假冒者的IP地址，那么就构造出了一个用于欺骗的ARP请求报文。那么被欺骗主机的ARP高速缓存，被假冒者的IP地址与其MAC地址的对应关系就会更改为欺骗者的，从而达到ARP欺骗的目的。特别的，如果攻击者冒充网关，将转发子网内到外网的所有通信量，以达到捕获其他主机的通信量，从而破坏数据传输的保密性。

3.密码（口令，Password）安全

在现实网络中，攻击事件发生的频率越来越高，其中相当多的都是由于网站密码泄露的缘故，或是人为因素导致，或是口令遭到破解，所以从某种角度而言，密码的安全问题不仅仅是技术上的问题，更主要的是人的安全意识问题。

3.1 口令破解方法

口令破解主要有两种方法：字典破解和暴力破解。
字典破解是指通过破解者对管理员的了解，猜测其可能使用某些信息作为密码，例如其姓名、生日、电话号码等，同时结合对密码长度的猜测，利用工具来生成密码破解字典。如果相关信息设置准确，字典破解的成功率很高，并且其速度快，因此字典破解是密码破解的首选。
而暴力破解是指对密码可能使用的字符和长度进行设定后（例如限定为所有英文字母和所有数字，长度不超过8），对所有可能的密码组合逐个实验。随着可能字符和可能长度的增加，存在的密码组合数量也会变得非常庞大，因此暴力破解往往需要花费很长的时间，尤其是在密码长度大于10，并且包含各种字符（英文字母、数字和标点符号）的情况下。

3.2 口令破解方式

口令破解主要有两种方式：离线破解和在线破解。
离线破解攻击者得到目标主机存放密码的文件后，就可以脱离目标主机，在其他计算机上通过口令破解程序穷举各种可能的口令，如果计算出的新密码与密码文件存放的密码相同，则口令已被破解。

3.3 候选口令产生器

候选口令产生器的作用是不断生成可能的口令。有几种方法产生候选口令，一种是用枚举法来构造候选口令（暴力破解），另一种方法是从一个字典文件里读取候选口令（字典破解）。

3.4 口令加密

口令加密过程就是用加密算法对从口令候选器送来的候选口令进行加密运算而得到密码。这要求加密算法要采用和目标主机一致的加密算法。加密算法有很多种，通常与操作系统或应用程序的类型和版本相关。
Burp Suite是一个用于测试Web应用程序安全性的图形工具。该工具使用Java编写，由PortSwigger Security开发。该工具有两个版本。可免费下载的免费版（免费版）和试用期后可购买的完整版（专业版）。免费版本功能显着降低。它的开发旨在为Web应用程序安全检查提供全面的解决方案，Burp Suite是进行Web应用安全测试集成平台。它将各种安全工具无缝地融合在一起，以支持整个测试过程中，从最初的映射和应用程序的攻击面分析，到发现和利用安全漏洞。

二、网络嗅探部分

1.sinffer/Wireshark的抓包

本次实验需要用到2个主机。其中，A主机用于连接外网，B主机用于运行sinffer/Wireshark并设定只抓取源为A主机的数据。

我们选用Metasploit2主机作为A，Kali主机作为B。首先我们需要确认kali和Metasploit2处于同一网段（可相互ping通的状态)。

—————————————————分隔符————————————————————
有两种确认方式

方法一
先分别用ifconfig获取kali主机和Metasploit2主机的ip地址。


然后分别在两个主机上，互相使用ping。


可以看到两个主机互相响应。

方法二

使用nmap扫描该网段

分析可以分别得到2个主机的ip地址

—————————————————分隔符————————————————————

接下来在kali系统中打开Wireshark，开始抓包

接下来我们使用主机A去ping主机B，可以看到Wireshark捕捉到了数据流。

这时如果想要抓源只为A的数据，那么过滤语句为：
ip.src == 192.168.43.143

但是如果A主机ping的网站是百度或是一些其他网站，又或者是往某一个网址发送包含账号和密码的HTTP报文，我们就可以从数据包中分析并获取相应信息。

2.ARP欺骗

2.1 为了捕获 A 到外网的数据，B 实施 ARP 欺骗攻击，B 将冒充该子网的什么实体？
网关（gateway）
2.2 写出 arpspoof 命令格式。
arpspoof -i 网卡 -t 目标 ip 网关

2.3 B是否能看到A和外网的通信（A 刚输入的帐户和口令）？为什么？
能，因为我们都是在一个网段下。网关会向所有人发送报文，不是本机 ip 会被电脑自动丢弃
2.4 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站，截图 Wireshark 中显示的明文信息。

arp 欺骗过程
环境：两台同网段的虚拟机 kali & unbuntu
1.启动 arpspoof 实施 arp 欺骗，让本机冒充网关收发数据
代码：echo 1 > /proc/sys/net/ipv4/ip_forward
2.ARP投毒，向主机B声称自己(攻击者)就是网关
arpspoof -i eth0 -t IP1 IP2(IP1是我们的攻击目标、IP2是网关IP地址)
首先确认Win7的IP地址，然后确认网关地址。
3.wireshark 查看截获的数据

4.过滤报文

3.WireShark分析抓包数据文件

1.如何发现FTP服务器？它的IP地址是多少？
首先先用wireshark打开data.pcnpng文件，点击Protocol，以协议来排序，方便分析数据。

分析过后，可以看到有大量基于FTP协议传输的数据库，所以推测有FTP服务器。分析后可以得知192.168.182.1是FTP文件服务器。

2.客户端登陆FTP服务器的账号和密码分别是什么？
继续分析数据包，可以找到账号和密码。
3.客户端从FTP下载或查看了2个文件，一个是zip文件，一个是txt文件，文件名分别是什么？
在数据包中，可以找到用户分别下载或查看了1.zip 和 复习题.txt文件。

4.还原ZIP文件并打开
右击FTP协议下的一项数据，点击追踪流->TCP流，可以得知FTP服务器也是遵循TCP协议的。

在左上角筛选区输入tcp.stream，可以看到随后提示有多个数据流，依次分析。

tcp流1中，追踪流，可以得知上面说的用户的账号和密码，以及查看或下载了何种文件。
tcp流2中，追踪流，可以看到上面所说文件的传输时间。
tcp流3中，追踪流可以看到，数据头是“PK…"，可以得知这是一个zip文件。（具体文件头相关的知识需要更多的积累，或许也会写个博客）

然后将这个文件的显示和保存数据选项改为原始数据并导出为a.zip并打开，发现有密码。

使用kali下的fcrakzip密码破解工具，对zip进行破解。先sudo apt-get install fcrackzip安装
破解命令 fcrackzip -b -c1 -l 6 -u a.zip ，其中
-b：使用暴力模式
-c1：使用纯数字进行破解
-l：规定破解密码长度/范围
-u：使用unzip
最后得到了一张小企鹅。

三、网站密码破解部分

1.MD5破解

MD5是一种全球通用公开的加密算法，在网上有对这种密文的在线破解网站，于是直接找到网站输入密文得出结果：iampotato

2.John the Ripper的作用

John the Ripper是免费的开源软件，是一个快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持目前大多数的加密算法，如DES、MD4、MD5等。它支持多种不同类型的系统架构，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不够牢固的Unix/Linux系统密码。

四、思考与总结

1.如何防止ARP攻击

①保证电脑不接收欺骗包
②保证电脑收到欺骗包之后不相信
③绑定正确的的IP和MAC映射，收到攻击包时不被欺骗。
④能够根据网络数据包特征，自动识别局域网存在的ARP扫描和欺骗行为，并做出攻击判断

2.安全的密码（口令）应遵循的原则

①密码的长度要足够长
②要使用数字、字母以及符号混合的密码组合
③避免出现有规律的字母或是数字组合

3.字典攻击中字典的重要性

在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码（单词或短语）的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表（可能的密码）。对于暴力破解社会工程学是经常用到的方法。根据社会工程学生成的字典可以极大的增大密码破译的成功率。

4.实验小结

知识点总结：

1.什么是网络嗅探
2.ARP协议原理
3.FTP协议
4.如何使用WireShark抓包并对数据包进行分析
5.MD5加密方式
6.如何使用密码字典爆破数据
7.密码安全

通过本次实验，我了解了更多网络嗅探方面的知识。ARP及FTP等网络协议有了更深入的了解。Wireshark熟练度up，暴力破解网站及密码防护知识也有了增加。