Wireshark嗅探和协议分析
实验环境
1、系统环境:Windows7/8/10操作系统、Centos6.8
2、浏览器:IE10/11
3、Wireshark:Version 2.2.5
4、WinPcap4.1.0.2980
5、8UFtp 3.8.2.0
6、Foxmail 7.2
实验步骤
DHCP协议抓包实验
以Win10操作系统为例,鼠标左键单击左下角的开始菜单,选择“设置”选项,进入Win10系统设置界面,点击页面中的“网络和Internet”选项,进入Internet网络设置界面,点击“WLAN”网络,然后选择页面中的“管理已知网络”选项,把除了做实验需要的WLAN之外的其他网络全部选择“忘记”。
启动Wireshark,选中WLAN开始抓取数据包。以管理员方式打开CMD,运行命令ipconfig /release,释放获取到的IP地址。运行命令ipconfig /renew,重新获取IP地址,稍等片刻,获取成功以后,在Wireshark中停止抓取数据包。
在Wireshark的过滤器中输入bootp,表示只筛选DHCP数据包。如下图所示:
数据包分析如下:
No83:本机localhost(192.168.43.114)向DHCP server(192.168.43.1)发送了一个DHCP Release数据包,终止了ip租赁。将本机IP地址清空。
No406:本机localhost向局域网广播一个DHCP Discover包,此时本机localhost的IP地址为0.0.0.0。广播地址为255.255.255.255。本地端口为68,目的端口为67。
No407:Ipv4地址为192.168.43.1的DHCP服务器收到该包后,向本机发送一个DHCP Offer数据包。进一步分析该回应数据包内容为:
该包内包含预分配给本机localhost的ip地址(截图中第7行)、dns服务器地址、子网掩码、ip租赁期等基本信息。
No408:DHCP Request包由本机localhost广播,表示本机已经收到DHCP Offer包,对此事进行通告,通告的内容包括预分配给本机的IP地址,本机的MAC地址,本机的计算机名等信息。
No409:DHCP server(192.168.43.1)向本机localhost(192.168.43.114)发送了一个DHCP Ack数据包。确认IP地址,路由、DNS、IP租赁时间、子网掩码等信息。
本机localhost收到该确认包后,不会立即更新自己的信息。其将会向网络发送ARP请求,询问是否已经有人占用该分配IP,如果没有人回应,本机localhost将更新自己的ipv4信息,IP分配过程结束。
抓取FTP密码实验
首先,搭建自己的FTP服务器,这里以Centos6.8为例。运行命令
rpm -f vsftpd
看ftp服务是否安装,如果没安装的话,依次执行下列命令:
yum -y install vsftpd #安装vsftpd服务
修改/etc/vsftpd/vsftpd.conf,把相关字段改为如下所示:
anonymous_enable=NO #不允许匿名用户登录
chroot_local_user=YES #不可以让ftp用户跳出自己的家目录
useradd -s /sbin/nologin -d /var/www/html testftp
#添加用户testftp,此用户只能连接ftp,无法直接登录系统,默认家目录是在var/www/html 文件夹
passwd testftp #为testftp用户R 设置密码
chmod o+w /var/www/html/ #修改testftp用户家目录权限,允许上传
setenforce 0 #临时关闭SELINUX
如果需要长期修改,可以修改/etc/selinux/config文件,把相关字段改为:SELINUX=disabled,然后重启CentOS。
service iptables stop #关闭iptables
service vsftpd start #开启vstfpd服务。
然后,使用8Uftp客户端上传/下载文件,测试是否搭建成功。
断开8Uftp客户端的连接。开启Wireshark,选择相应的网卡,由于CentOS是用VMWare12Pro搭建在本机上的,所以要使用的网卡为VMware Network Adapter VMnet8。使用8Uftp客户端连接服务器,输入地址,用户名,密码。在Wireshark中设置过滤器为ftp,可以看到明文的用户名和密码。如下图所示:
抓取Foxmail邮箱客户端密码实验
首先,自己在mail.163.com上申请一个邮箱,通过网页登录邮箱后,选择设置POP3/SMTP/IMAP。
勾选使用使用授权码登录第三方邮件客户端。
然后,安装Foxmail7.2版本,确认成功登录。
退出Foxmail,开启Wireshark,选择相应的网卡,打开Foxmail,登录成功,停止Wireshark抓包。可以看到明文的用户名和密码。如下图所示: