实验二 网络嗅探与身份认证

实验目的：

1、通过使用Wireshark软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉HTTP等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。

2、研究交换环境下的网络嗅探实现及防范方法，研究并利用ARP协议的安全漏洞，通过Arpspoof实现ARP欺骗以捕获内网其他用户数据。

3、能利用BrupSuite实现网站登录暴力破解获得登录密码。

4、能实现ZIP密码破解，理解安全密码的概念和设置。

系统环境：Kali Linux 2、Windows

网络环境：交换网络结构

实验工具：Arpspoof、WireShark、BurpSuite、fcrackzip（用于zip密码破解）。

实验步骤和内容：

网络嗅探部分：

网络嗅探：Wireshark 监听网络流量，抓包。

ARP欺骗： ArpSpoof，实施ARP欺骗。

防范： 防范arp欺骗。

1、A主机上外网，B运行sinffer(Wireshark)选定只抓源为A的数据)。

1.1 写出以上过滤语句。

答：过滤语句：Ip.src==ip

1.2 B是否能看到A和外网的通信（A刚输入的帐户和口令）？为什么？ 

答：不能，B不能看到A和外网的通信，因为B会把A发送的数据表丢掉。A与外网的通信是直接发送到网关的，并没有通过B.

2.1 为了捕获A到外网的数据，B实施ARP欺骗攻击，B将冒充该子网的什么实体？

答：b将冒充子网的网关。

2.2 写出arpspoof命令格式。

答：arpspoof -i eth0 -t IP1 IP2 (ip1是你要欺骗的主机的IP，ip2是网关的IP)

2.3 B是否能看到A和外网的通信（A刚输入的帐户和口令）？

答：能，因为B已经冒充为A的网关，所以B能看到A与外网的通信。

2.4 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站，截图Wireshark中显示的明文信息。

我们使用桂林生活网来举例，在网站上输入账号和密码，然后用wireshark抓包：

 

  

过滤数据流,输入：Ip.src==ip and HTTP，就可以看到之前输入的账号和密码。

3.FTP数据还原部分：利用WireShark打开实验实验数据data.pcapng。

1. FTP服务器的IP地址是多少？你是如何发现其为FTP服务器的？

找到response（回应）部分，就能看到ftp服务器的ip地址。

 

3.2客户端登录FTP服务器的账号和密码分别是什么?

直接就能看到user：student， pass：sN46i5y.

4.客户端从FTP下载或查看了2个文件，一个为ZIP文件，一个为TXT文件，文件名分别是什么？

文件名是：1.zip和复习题.txt

5.还原ZIP文件并打开（ZIP有解压密码，试图破解，提示：密码全为数字，并为6位）。截图破解过程。

随便找个zip密码破解软件，也可以使用kali自带的暴力破解FCRACKZIP。

 

3.5 TXT文件的内容是什么？

 

网站密码破解部分：

    利用人们平时常用的词、句破译，如果说暴力破解是一个一个的尝试那么字典破译就是利用人们习惯用人名、地名或者常见的词语设置成密码的习惯进行破译。字典破译速度比暴力破译更快但是有时候密码设置中包含了没有字典库中的词句就无法破解出来了，因此有好的字典是关键。

以*****为目标网站，构造字典（wordlist），其中包含你的正确密码，利用burpsuite进行字典攻击，实施字典攻击，你是如何判断某个密码为破解得到的正确密码，截图。

4、MD5破解

    SqlMap得到某数据库用户表信息，用户口令的MD5值为7282C5050CFE7DF5E09A33CA456B94AE

那么，口令的明文是什么？

John the Ripper的作用是什么？

John the Ripper (“JtR”) 是一个非常有用的工具。这是一个快速的密码破解器，适用于Windows和许多Linux系统。它具有很多功能，对于很多密码破解均有奇效。

思考问题：

谈谈如何防止ARP攻击。

1)双绑措施：双绑是在路由器和终端上都进行IP-MAC绑定的措施，它可以对ARP欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从ARP欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的ARP欺骗是有效的。

2）arp个人防火墙：在一些杀毒软件中加入了ARP个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。ARP防火墙使用范围很广，有很多人以为有了防火墙，ARP攻击就不构成威胁了，其实完全不是那么回事。

3)VLAN和交换机端口绑定：通过划分VLAN和交换机端口绑定，以图防范ARP，也是常用的防范方法。做法是细致地划分VLAN，减小广播域的范围，使ARP在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有MAC地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的MAC和端口进行绑定，避免了病毒利用ARP攻击篡改自身地址。也就是说，把ARP攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。

4)PPPoE：网络下面给每一个用户分配一个帐号、密码，上网时必须通过PPPoE认证，这种方法也是防范ARP措施的一种。PPPoE拨号方式对封包进行了二次封装，使其具备了不受ARP欺骗影响的使用效果，很多人认为找到了解决ARP问题的终极方案。

安全的密码（口令）应遵循的原则。

答：严禁使用空口令和与用户名相同的口令；
不要选择可以在任何字典或语言中找到的口令；
不要选择简单字母组成的口令；
不要选择任何和个人信息有关的口令；
不要选择短于6个字符或仅包含字母或数字；
不要选择作为口令范例公布的口令；
采取数字混合并且易于记忆。

谈谈字典攻击中字典的重要性。

答：字典相当于一串钥匙，可以一把一把的试，能打开门的钥匙有可能就在其中。一个好的字典是要根据攻击者的姓名、生日、电话号码等重要信息生成，一个好的字典对于密码破解来说事半功倍。

实验小结。

正如目的所言我通过使用Wireshark软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉HTTP等协议的数据包，理解了TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。

但实际上操作并不熟悉，很多口令仍然需要百度搜索，通过实验我才发现自己的不足，所以还要加强学习，熟悉linux系统的操作。