网络嗅探与身份认证实验
1.实验目的
1、通过使用Wireshark软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。
2、研究交换环境下的网络嗅探实现及防范方法,研究并利用ARP协议的安全漏洞,通过Arpspoof实现ARP欺骗以捕获内网其他用户数据。
3、能利用BrupSuite实现网站登录暴力破解获得登录密码。
4、能实现ZIP密码破解,理解安全密码的概念和设置。
系统环境:
Kali Linux 2、Windows
网络环境:
交换网络结构
实验工具:
Arpspoof、WireShark、BurpSuite、fcrackzip(用于zip密码破解)。
2.实验内容、原理
网络嗅探
1、网络嗅探概述
Sniffer(嗅探器)工作在OSI模型的第二层,利用计算机的网卡截获网络数据报文的一种工具,可用来监听网络中的数据,分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器确定不同网络协议、不同用户的通信流量,相互主机的报文传送间隔时间等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。
在正常情况下,一个合法的网络接口应该只响应这样的两种数据帧:帧的目标区域具有和本地网络接口相匹配的硬件地址;帧的目标区域具有“广播地址”。
如果网卡处于混杂(promiscuous)模式,那么它就可以捕获网络上所有的数据帧,处于对网络的“监听”状态,如果一台机器被配置成这样的方式,它(包括其软件)就是一个嗅探器。
在交换型以太网中,上述条件2是不满足的。所有的主机连接到SWITCH,SWITCH比HUB更聪明,它知道每台计算机的MAC地址信息和与之相连的特定端口,发给某个主机的数据包会被SWITCH从特定的端口送出,而不是象HUB那样,广播给网络上所有的机器。这种传输形式使交换型以太网的性能大大提高,同时还有一个附加的作用:使传统的嗅探器无法工作。
交换型网络环境嗅探的核心问题是:如何使本不应到达的数据包到达本地。通常的方法有MAC洪水包和ARP欺骗。其中MAC洪水包是向交换机发送大量含有虚构MAC地址和IP地址的IP包,使交换机无法处理如此多的信息,致使交换机就进入了所谓的"打开失效"模式,也就是开始了类似于集线器的工作方式,向网络上所有的机器广播数据包。
2、ARP欺骗
本实验中,我们将要详细分析ARP欺骗模式,并通过ARP欺骗达到交换网络嗅探的目的。
每一个主机都有一个ARP高速缓存,此缓存中记录了最近一段时间内其它IP地址与其MAC地址的对应关系。如果本机想与某台主机通信,则首先在ARP高速缓存中查找此台主机的IP和MAC信息,如果存在,则直接利用此MAC地址构造以太帧;如果不存在,则向本网络上每一个主机广播一个ARP请求报文,其意义是"如果你有此IP地址,请告诉我你的MAC地址",目的主机收到此请求包后,发送一个ARP响应报文,本机收到此响应后,把相关信息记录在ARP高速缓存中,以下的步骤同上。
(ARP报文格式)
可以看出,ARP协议是有缺点的,第三方主机可以构造一个ARP欺骗报文,而源主机却无法分辨真假。如果发送者硬件地址字段填入攻击者的硬件地址,而发送者IP地址填入被假冒者的IP地址,那么就构造出了一个用于欺骗的ARP请求报文。那么被欺骗主机的ARP高速缓存,被假冒者的IP地址与其MAC地址的对应关系就会更改为欺骗者的,从而达到ARP欺骗的目的。特别的,如果攻击者冒充网关,将转发子网内到外网的所有通信量,以达到捕获其他主机的通信量,从而破坏数据传输的保密性。
3、密码(Password)安全
在现实网络中,攻击事件发生的频率越来越高,其中相当多的都是由于网站密码泄露的缘故,或是人为因素导致,或是口令遭到破解,所以从某种角度而言,密码的安全问题不仅仅是技术上的问题,更主要的是人的安全意识问题。
3.1、口令破解方法
口令破解主要有两种方法:字典破解和暴力破解。
字典破解是指通过破解者对管理员的了解,猜测其可能使用某些信息作为密码,例如其姓名、生日、电话号码等,同时结合对密码长度的猜测,利用工具来生成密码破解字典。如果相关信息设置准确,字典破解的成功率很高,并且其速度快,因此字典破解是密码破解的首选。
而暴力破解是指对密码可能使用的字符和长度进行设定后(例如限定为所有英文字母和所有数字,长度不超过8),对所有可能的密码组合逐个实验。随着可能字符和可能长度的增加,存在的密码组合数量也会变得非常庞大,因此暴力破解往往需要花费很长的时间,尤其是在密码长度大于10,并且包含各种字符(英文字母、数字和标点符号)的情况下。
3.2、口令破解方式
口令破解主要有两种方式:离线破解和在线破解。
离线破解攻击者得到目标主机存放密码的文件后,就可以脱离目标主机,在其他计算机上通过口令破解程序穷举各种可能的口令,如果计算出的新密码与密码文件存放的密码相同,则口令已被破解。
3.3 候选口令产生器
候选口令产生器的作用是不断生成可能的口令。有几种方法产生候选口令,一种是用枚举法来构造候选口令(暴力破解),另一种方法是从一个字典文件里读取候选口令(字典破解)。
3.4 口令加密
口令加密过程就是用加密算法对从口令候选器送来的候选口令进行加密运算而得到密码。这要求加密算法要采用和目标主机一致的加密算法。加密算法有很多种,通常与操作系统或应用程序的类型和版本相关。
Burp Suite是一个用于测试Web应用程序安全性的图形工具。该工具使用Java编写,由PortSwigger Security开发。该工具有两个版本。可免费下载的免费版(免费版)和试用期后可购买的完整版(专业版)。免费版本功能显着降低。它的开发旨在为Web应用程序安全检查提供全面的解决方案,Burp Suite是进行Web应用安全测试集成平台。它将各种安全工具无缝地融合在一起,以支持整个测试过程中,从最初的映射和应用程序的攻击面分析,到发现和利用安全漏洞。
实验步骤和内容
网络嗅探部分
网络嗅探
Wireshark 监听网络流量,抓包。
ARP欺骗
ArpSpoof,实施ARP欺骗。
防范: 防范arp欺骗。
(实验网络拓扑)
1、A主机上外网,B运行sinffer(Wireshark)选定只抓源为A的数据)。
1.1 写出以上过滤语句。
1.2 B是否能看到A和外网的通信(A刚输入的帐户和口令)?为什么?
2.1 为了捕获A到外网的数据,B实施ARP欺骗攻击,B将冒充该子网的什么实体?
2.2 写出arpspoof命令格式。
2.3 B是否能看到A和外网的通信(A刚输入的帐户和口令)?
2.4 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站,截图Wireshark中显示的明文信息。
\3. FTP数据还原部分:利用WireShark打开实验实验数据data.pcapng。
3.1 FTP服务器的IP地址是多少?你是如何发现其为FTP服务器的?
3.2客户端登录FTP服务器的账号和密码分别是什么?
3.3 客户端从FTP下载或查看了2个文件,一个为ZIP文件,一个为TXT文件,文件名分别是什么?****提示:文件名有可能是中文。****
3.4 还原ZIP文件并打开(ZIP有解压密码,试图破解,提示:密码全为数字,并为6位)。截图破解过程。
3.5 TXT文件的内容是什么?
网站密码破解部分:
利用人们平时常用的词、句破译,如果说暴力破解是一个一个的尝试那么字典破译就是利用人们习惯用人名、地名或者常见的词语设置成密码的习惯进行破译。字典破译速度比暴力破译更快但是有时候密码设置中包含了没有字典库中的词句就无法破解出来了,因此有好的字典是关键。
以*****为目标网站,构造字典(wordlist),其中包含你的正确密码,利用burpsuite进行字典攻击,实施字典攻击,你是如何判断某个密码为破解得到的正确密码,截图。
4、MD5破解
SqlMap得到某数据库用户表信息,用户口令的MD5值为7282C5050CFE7DF5E09A33CA456B94AE
那么,口令的明文是什么?(提示:MD5值破解)
5、John the Ripper的作用是什么?
3.实验过程
1、A主机上外网,B运行sinffer(Wireshark)选定只抓源为A的数据)。
1.1 写出以上过滤语句。
1.查询主机A的ip:win+R ipconfig(windows)
2.打开主机B,运行wireshark,过滤语句:ip.addr=192.168.43.73
1.2 B是否能看到A和外网的通信(A刚输入的帐户和口令)?为什么?
不能看到,因为A和外网通信时直接发送到交换机的,经过网关,不经过B。
2.1 为了捕获A到外网的数据,B实施ARP欺骗攻击,B将冒充该子网的什么实体?
冒充网关,A的数据经过B
2.2写出arpspoof命令格式。
arpspoof -i eth0 -t 192.168.1.112 192.168.1.1
arpspoof命令
后面接上与网络有关的-i(interface)
网卡eth0
目标-t(target)
目标IP:192.168.1.112
目标主机网关192.168.1.1
攻击者将发送者的mac地址修改成攻击者mac地址,ip修改成网关地址,导致接收这错吧攻击者当成网关发送数据,导致arp欺骗
2.3 B是否能看到A和外网的通信(A刚输入的帐户和口令)?
进行arp欺骗之后可以
2.4 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站,截图Wireshark中显示的明文信息。
3.FTP数据还原部分:利用WireShark打开实验实验数据data.pcapng。
3.1 FTP服务器的IP地址是多少?你是如何发现其为FTP服务器的?
192.168.182.1,通过wireshark过滤识别
3.2客户端登录FTP服务器的账号和密码分别是什么
3.3 客户端从FTP下载或查看了2个文件,一个为ZIP文件,一个为TXT文件,文件名分别是什么?****提示:文件名有可能是中文。****
3.4 还原ZIP文件并打开(ZIP有解压密码,试图破解,提示:密码全为数字,并为6位)。截图破解过程。
将报文转化为原始报文保存即可
压缩包密码使用工具
密码:123456
3.5 TXT文件的内容是什么?
PETS
Nmap
网站密码破解部分:
利用人们平时常用的词、句破译,如果说暴力破解是一个一个的尝试那么字典破译就是利用人们习惯用人名、地名或者常见的词语设置成密码的习惯进行破译。字典破译速度比暴力破译更快但是有时候密码设置中包含了没有字典库中的词句就无法破解出来了,因此有好的字典是关键。
以*****为目标网站,构造字典(wordlist),其中包含你的正确密码,利用burpsuite进行字典攻击,实施字典攻击,你是如何判断某个密码为破解得到的正确密码,截图。
使用pikachu靶场的爆破模块进行试验,输入用户名密码然后抓包发送到intruder,然后进行爆破
4、MD5破解
SqlMap得到某数据库用户表信息,用户口令的MD5值为7282C5050CFE7DF5E09A33CA456B94AE那么,口令的明文是什么?(提示:MD5值破解)
5、John the Ripper的作用是什么?
John the Ripper免费的开源软件,是一个快速的密码破解工具,用于在已知密文的情况下尝试破解出明文的破解密码软件,支持目前大多数的加密算法,如DES、MD4、MD5等。它支持多种不同类型的系统架构,包括Unix、Linux、Windows、DOS模式、BeOS和OpenVMS,主要目的是破解不够牢固的Unix/Linux系统密码。
思考问题
1、 谈谈如何防止ARP攻击。
终端对网关的绑定要坚实可靠,这个绑定能够抵制被病毒捣毁,接入路由器或网关要对下面终端IP-MAC的识别始终保证唯一准确,网络内要有一个最可依赖的机构,提供对网关IP-MAC最强大的保护。它既能够分发正确的网关信息,又能够对出现的假网关信息立即封杀。
终端绑定采用看守式绑定技术。免疫网络需要每一台终端自动安装驱动,不安装或卸载就不能上网。在驱动中的看守式绑定,就是把正确的网关信息存贮在非公开的位置加以保护,任何对网关信息的更改,由于看守程序的严密监控,都是不能成功的,这就完成了对终端绑定牢固可靠的要求。
免疫墙路由器或免疫网关的ARP先天免疫技术。在NAT转发过程中,由于加入了特殊的机制,免疫墙路由器根本不理会任何对终端IP-MAC的ARP申告,也就是说,谁都无法欺骗网关。与其他路由器不同,免疫墙路由器没有使用IP-MAC的列表进行工作,当然也不需要繁琐的路由器IP-MAC表绑定和维护操作。先天免疫,就是不用管也具有这个能力。
保证网关IP-MAC始终正确的机构,在免疫网络中是一套安全机制。首先,它能够做到把从路由器中取到的真实网关信息,分发到每一个网内终端,而安装有驱动的终端,只接受这样的信息,其他信息不能接受,保证了网关的唯一正确性。其次,在每一台终端,免疫驱动都会拦截病毒发出的错误网关传播,不使其流窜到网络内,把ARP欺骗和攻击从根源上切断。
2、 安全的密码(口令)应遵循的原则。
密码不能太简单,应该是多种组合,比如大写字母加小写字母加数字,再复杂点可以再加上符号,且多个平台的密码最好不相同,不要使用弱口令。
3、 谈谈字典攻击中字典的重要性。
字典或者字典内数据越多,爆破成功率越大。
4.实验小结
1.使用Wireshark软实现捕捉HTTP等协议的数据包,理解TCP/IP协议中多种协议的数据结构、HTTP等协议明文传输的特性;
2.了解了arp欺骗的原理并利用ARP协议的安全漏洞,通过Arpspoof实现ARP欺骗以捕获内网其他用户数据;
3.使用wireshark分析网络协议以及获取在网络中传输的数据包并恢复;
组合,比如大写字母加小写字母加数字,再复杂点可以再加上符号,且多个平台的密码最好不相同,不要使用弱口令。
3、 谈谈字典攻击中字典的重要性。
字典或者字典内数据越多,爆破成功率越大。
4.实验小结
1.使用Wireshark软实现捕捉HTTP等协议的数据包,理解TCP/IP协议中多种协议的数据结构、HTTP等协议明文传输的特性;
2.了解了arp欺骗的原理并利用ARP协议的安全漏洞,通过Arpspoof实现ARP欺骗以捕获内网其他用户数据;
3.使用wireshark分析网络协议以及获取在网络中传输的数据包并恢复;