网络嗅探与身份认证

最新推荐文章于 2022-12-18 17:43:35 发布

楊雨欣同學.

最新推荐文章于 2022-12-18 17:43:35 发布

阅读量206

点赞数

本文链接：https://blog.csdn.net/Yangyuxin0228/article/details/110197425

版权

1、A主机上外网，B运行sinffer(Wireshark)选定只抓源为A的数据)。

1.1写出以上过滤语句。

以Windows10x64为主机A，kali为主机B。
在这里插入图片描述

在这里插入图片描述
可以看出AB位于同一网段
过滤语句为ip.src == 192.168.204.131

1.2B是否能看到A和外网的通信（A刚输入的帐户和口令）？为什么？

用A打开wireshark，用Bping一下baidu，观察wireshark 在这里插入图片描述
可以看出，B并不能看到A和外网的通信

2.1 为了捕获A到外网的数据，B实施ARP欺骗攻击，B将冒充该子网的什么实体？

路由器

2.2 写出arpspoof命令格式。

先更换kali源
换源后安装arpspoof，命令为：sudo apt-get install dsniff 在这里插入图片描述
查看kali的网关地址

所以kali的网关地址为192.168.204.2
Ip地址为192.168.204.128
然后开启端口转发
echo 1 > /proc/sys/net/ipv4/ip_forward

然后进行ARP投毒，向主机B声称自己(攻击者)就是网关
arpspoof -i eth0 -t IP1 IP2(IP1是我们的攻击目标、IP2是网关IP地址) 在这里插入图片描述
可以看到IP地址已经变成kali的网关地址。证明欺骗成功。

2.3 B是否能看到A和外网的通信（A刚输入的帐户和口令）？

不能

2.4 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站，截图Wireshark中显示的明文信息。

例如访问学校的选课系统在这里插入图片描述
追踪一下就找到了，账号和密码

3. FTP数据还原部分：利用WireShark打开实验实验数据data.pcapng。

3.1 FTP服务器的IP地址是多少？你是如何发现其为FTP服务器的？

通过有大量的FTP流可以发现存在FTP服务器，
IP地址为192.168.182.1 在这里插入图片描述

3.2客户端登录FTP服务器的账号和密码分别是什么?

在这里插入图片描述
通过观察可以看出账号为student密码为sN46i5y

3.3 客户端从FTP下载或查看了2个文件，一个为ZIP文件，一个为TXT文件，文件名分别是什么？提示：文件名有可能是中文。

3.4 还原ZIP文件并打开（ZIP有解压密码，试图破解，提示：密码全为数字，并为6位）。截图破解过程。

找到带有zip的数据包
在这里插入图片描述
追踪TCP流并将原始数据保存名称为b

在这里插入图片描述

在kali安装fcrackzip工具，命令为：sudo apt-get install fcrackzip

破解命令 fcrackzip -b -c1 -l 6 -u b 。
-b：使用暴力模式
-c1：使用纯数字进行破解
-l：规定破解密码长度/范围
-u：使用unzip
b：保存的原始数据文件名
在这里插入图片描述
这样就得到了密码123456
打开后是一张图片

3.5 TXT文件的内容是什么？

4、MD5破解

SqlMap得到某数据库用户表信息，用户口令的MD5值为7282C5050CFE7DF5E09A33CA456B94AE那么，口令的明文是什么？（提示：MD5值破解）在这里插入图片描述

5、John the Ripper的作用是什么？

John the Ripper免费的开源软件，是一个快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的破解密码软件，支持目前大多数的加密算法，如DES、MD4、MD5等。它支持多种不同类型的系统架构，包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS，主要目的是破解不够牢固的Unix/Linux系统密码。

1、谈谈如何防止ARP攻击。
1.同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”
2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机
在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：
ipconfig
记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。再输入并执行以下命令：
arp –a
在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
2、安全的密码（口令）应遵循的原则。
安全性重要的文件密码要设置安全性高的
易记忆不要设完自己也忘记是什么
安全问题设置最好把这个备份一下找回密码时候容易
3、谈谈字典攻击中字典的重要性。
在破解密码或密钥时，逐一尝试用户自定义词典中的可能密码(单词或短语)的攻击方式。与暴力破解的区别是，暴力破解会逐一尝试所有可能的组合密码，而字典式攻击会使用一个预先定义好的单词列表(可能的密码)。