这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Wireshark安装入门和一个抓取网站用户名和密码的案例,本篇文章将继续深入学习Wireshark的抓包原理知识,并分享数据流追踪、专家信息操作,最后结合NetworkMiner工具抓取了图像资源和用户名密码。本文参考了PingingLab陈鑫杰老师的部分内容,非常推荐大家观看他的教程。同时,Bilibili是学习网络安全和编程的好地方喔,大家可以去试试。
Wireshark作为网络分析的最佳利器之一,非常推荐网络安全初学者学习。作者作为网络安全的小白,分享一些自学基础教程给大家,希望你们喜欢。同时,更希望你能与我一起操作深入进步,后续也将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不容易,大神请飘过,不喜勿喷,谢谢!
下载地址:https://github.com/eastmountyxz/NetworkSecuritySelf-study
百度网盘:https://pan.baidu.com/s/1dsunH8EmOB_tlHYXXguOeA 提取码:izeb
前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
[网络安全自学篇] 二.Chrome浏览器保留密码功能渗透解析及登录加密入门笔记
[网络安全自学篇] 三.Burp Suite工具安装配置、Proxy基础用法及暴库示例
[网络安全自学篇] 四.实验吧CTF实战之WEB渗透和隐写术解密
[网络安全自学篇] 五.IDA Pro反汇编工具初识及逆向工程解密实战
[网络安全自学篇] 六.OllyDbg动态分析工具基础用法及Crakeme逆向破解
[网络安全自学篇] 七.快手视频下载之Chrome浏览器Network分析及Python爬虫探讨
[网络安全自学篇] 八.Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
[网络安全自学篇] 九.社会工程学之基础概念、IP获取、IP物理定位、文件属性
[网络安全自学篇] 十.论文之基于机器学习算法的主机恶意代码
[网络安全自学篇] 十一.虚拟机VMware+Kali安装入门及Sqlmap基本用法
[网络安全自学篇] 十二.Wireshark安装入门及抓取网站用户名密码(一)
前文欣赏:
[渗透&攻防] 一.从数据库原理学习网络攻防及防止SQL注入
[渗透&攻防] 二.SQL MAP工具从零解读数据库及基础用法
[渗透&攻防] 三.数据库之差异备份及Caidao利器
[渗透&攻防] 四.详解MySQL数据库攻防及Fiddler神器分析数据包
参考文献:
《安全之路Web渗透技术及实战案例解析》陈小兵老师
《Wireshark数据包分析实战》第二版 Chris Sanders
《Wireshark网络分析》第二版 Laura Chappell
《TCP/IP协议栈详解卷一》 W.Richard Stevens
《Wireshark协议分析从入门到精通》-51cto老师(强推)
使用Wireshark抓包获取在网页中输入的账号密码 - 鹏晓星博友
安全科普:利用WireShark破解网站密码 - JackFree大神
用wireshark抓包分析TCP三次握手、四次挥手以及TCP实现可靠传输的机制 - suddoo大神
Wireshark如何抓明文用户名和密码 - liu_yanzhao大神
网络抓包工具 wireshark 入门教程 - zhuyunier
https://www.bilibili.com/video/av29479068
声明:本人坚决反对利用社会工程学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。
网络中不论传输什么,最终通过物理介质发送的都是二进制,类似于0101的Bit流。纯文本(字符串)中文通常采用UTF-8编码,英文用ASCII编码;非纯文本音频、视频、图片、压缩包等按不同编码封装好,转换成二进制传输。在IP网络中,通过Wireshark抓包,获取的原始数据都是二进制。
哪种网络情况下能够抓取到包呢?下面结合网络原理讲解。网络抓包主要存在三种情况:本机环境、集线器环境和交换机环境。
1.本机环境
本机环境直接抓包本机网卡进出的流量。Wireshark会绑定我们的网卡,不需要借助第三方设备(交换机、集线路由器)就能抓取我们的网络通信流量,这是最基本的抓包方式。
2.集线器环境
集线器环境可以做流量防洪,同一冲突域。集线器的英文是“Hub”,“Hub”是“中心”的意思,集线器的主要功能是对接收到的信号进行再生整形放大,以扩大网络的传输距离,同时把所有节点集中在以它为中心的节点上。它工作于OSI参考模型第一层,即“物理层”。
假设三台电脑通信,PC1处安装Wireshark,当PC2、PC3发送数据包到集线器网络里面(冲突域或广播域),由于集线器是物理层产品,不能识别MAC地址、IP地址,它会将接收包往其他所有接口泛洪,此时Wireshark就能抓到从同一个集线器其他电脑发过来的数据包,即局域网中的数据包。这是一种典型的老网络做法,现在基本淘汰。
3.交换机环境
交换机环境是更加常见的方式,包括端口镜像、ARP欺骗、MAC泛洪。
(1)端口镜像
交换机是一种数据链路层甚至网络层的产品,它的转包接包严格按照交换机上的MAC地址表通信。所以正常情况下,PC2和PC3通信流量是很难流到PC1的网卡上。当PC2和PC3通信时,PC1是无法通过Wireshark抓到包。但是我们可以在交换机端口做SAPN端口镜像操作,它会将其他两个口的流量复制一份到PC1处,PC1的网卡和Wireshark设置为混插模式,此时就能进行抓包。该模式常用于很多付费的流量分析软件。
(2)ARP劫持
假设我们没有权限在交换机上做端口镜像技术,因为有MAC地址表,又想获取整个局域网中的流量,窃取到PC2、PC3上的流量。这可以通过著名的ARP攻击软件Cain&Abel实现,其流程是:
(3)MAC泛洪
通过工具泛洪带来大量垃圾包,产生大量MAC地址,此时交换机MAC地址表会变为右边这张表(爆表),MAC2和MAC3被挤出了MAC地址表。一旦这种MAC地址被挤出MAC地址表,按照交换机原理,如果收到的数据包是未知,它会对外泛洪,此时PC2和PC3对外流量泛洪。
那么,抓包的底层架构是怎样的?下面开始讲解Wireshark的底层原理。
Wireshark包括5层架构:
PS:了解基本的原理知识挺重要的,尤其为后续深入的研究。
Wireshark运行后,其界面如下图所示,包括标题栏、菜单栏、工具栏、数据包过滤栏、数据包列表区、数据包详细区、数据包字节区、数据包统计区。
从上下按序编号如下图所示。
下面简单介绍一些界面常识。
1.点击“捕获”->“选项”如下图所示,可以设置输入接口和过滤器。
2.数据包详细区用得最多,它是解析数据包核心区域。数据包包含时间流、谁发给谁(原始IP地址和目的IP地址)、协议、长度、内容等,当双击它能看到对应的详细信息。
数据包详细区、数据包字节区包含比特字节信息。
3.统计栏的内容也值得大家去深入学习,后面会分享流量图信息。
4.显示界面中可以设置字体大小,如下图所示。
5.列设置包括默认列表、增加列、修改列、隐藏列、删除列,设置默认即可,下图是选中某行右键“应用为列”即可增加列。
增加后如下图所示:
选中该列名称,右键“删除列”即可。点击“编辑列”可以对名称进行修改。
6.时间设置涉及时间格式和参考时间。
修改之后如下图所示,不在显示时间间隔。
7.名字解析主要用于判断厂商信息,名词解析库,基本知识如下图所示。
设备相关信息如下图所示:
8.开启传输域名解析。
开启之后可以看到解析的域名(domain)及对应的DNS。
9.查看解析地址。
显示结果如下:
10.数据包操作包括数据包标记、注释数据包、合并数据包、打印数据包、导出数据包,通过不同的协议设置不同的配色方案。
如下图所示修改为红色。
11.文件->打印。
接下来作者将继续分享Wireshark的实际案例知识,首先讲解数据流追踪、专家信息获取和统计摘要获取的知识。
1.数据流追踪
数据流追踪主要是将TCP、UDP、SSL数据流进行重组并完整呈现出来,其点击路径为:Analyze -> Follow -> TCP stream 分析。跟踪TCP流实现如下图所示:
我们在访问网页的时候,除了HTTP协议,大部分的流量应该是通过TCP协议生成数据包的,如下图所示。红色部分表示浏览器访问的网址信息(Request),蓝色部分表示对方给我们的反馈信息(Response)。
2.专家信息说明
其功能是对数据包中特定状态进行警告说明,包括错误(errors)、警告(warnings)、注意(notes)、对话(chats)。正常通信是不会丢包的,但实际情况可能有延迟,可以通过专家信息分析和查看网站的稳定性。
显示结果如下图所示,并被标注为各种颜色。
3.统计摘要说明
其功能主要是对抓取的数据包进行全局统计,基本点击路径为:Statistics -> Summary 统计汇总信息。显示结果如下图所示,后续可能会结合案例详细讲解。
NetworkMiner:一款开源的网络取证和协议分析工具,能够通过嗅探器检测操作系统、主机名以及开放的端口。同时也可以通过分析pcap文件来获取到数据包的详细信息。 除了能够进行基本的数据包抓取分析,NetworkMiner还支持以下功能:
总之,这个源码项目还是比较复杂的,如果想深入研究数据包结构分析和Pcap,NetworkMiner也是个不错的选择。
下面结合Wireshark和NetworkMiner工具讲解劫持流量案例,获取登录HTTP网站的用户名和密码,并且作者修改了头像图片,通过NetworkMiner软件获取了该上传资源。
第一步:启动Wireshark软件,并开始监听流量数据包。
第二步:打开浏览器并输入目标网址。(后续会尝试分析HTTPS网站或手机APP检测)
第三步:输入用户名和密码登录。
登录之后如下图所示,作者这里尝试点击链接提交我的一张本地头像。
上传之后如下图所示,接下来我们开始尝试分析抓取的流量数据包。
第四步:获取网址对应的IP地址,这里使用IP站长之家实现。IP地址为:47.110.166.107 。
第五步:点击暂停并通过过滤器获取与该IP地址相关的HTTP协议数据包。
http and ip.addr==47.110.166.107
第六步:选中POST登录提交表单的链接,可以查看对应的用户名和密码如下图所示,双击该行可以查看详情。注意,该网站是明文传输用户名和密码,如果密码加密,可以采用在线MD5解密。还是建议该网站对密码进行加密或设置HTTPS传输。
第七步:右键链接,点击“追踪流”->“TCP流”。
显示的详情内容如下图所示,其中红色为Request,蓝色为服务器响应Response,我们也可以尝试将其导出保存至本地。
第八步:如果过滤器为“ ip.addr==47.110.166.107”,则还除了获取HTTP协议数据包,还能获取其他协议,包括TCP,大多数流量包均通过TCP协议三次握手传输。
这里,读者尝试寻找POST提交图片表单,找到其TCP流的原图片格式进行分析。
第九步:打开工具NetworkMiner,尝试通过它分析数据包。(注意,前面Wireshark抓取的包将存储为本地pcap文件)。
第十步:该软件打开我们本地的0921.pcap文件,显示如下图所示。
第十一步:点击Credentials查看我们Wireshark劫持的所有流量登录信息,可以看到我们目标网站的用户名Yxiuzhang和密码。
第十二步:点击Images可以查看我们上传的图片为“eastmount.jpg”,上传服务器之后头像命名为“17577…jpg”,成果抓取了图像资源。
讲到这里,此篇文章讲述完毕。总之,Wireshark是一个非常强大的 工具,希望读者能学会使用它,后续我们将分享如何获取手机APP中的流量。作者也是小白,但仍然在一步一个脚印学习,希望你也能与我同行。再次强调,Bilibili中有很多资源,去看看吧。
三年后,再次来到这座曾生活过六年的城市,还是那么有历史韵味,还是那么让人喜欢。这居然是我第一次走进国家会议中心,第一次近看鸟巢。
感恩老师,来之不易的学习机会,让我们异常珍惜。虽然听得懵懵懂懂,但也见识了差距,算是种经历和成长吧。人生,总有很多不期而遇的温暖,和生生不息的希望,且行且珍惜。赶紧总结下学术知识、写篇博文。
这里有很多老师、知己和故友,但这次匆忙,下次共聚,勿怪、勿念。争取带女生来一次北京。
——秀璋 2019.9.22 北京
(By:Eastmount 2019-09-22 晚上11点 http://blog.csdn.net/eastmount/ )