实例介绍
【实例简介】
Wireshark抓包实例分析,Wireshark抓包实例分析,Wireshark抓包实例分析
数据包No.1:当DHCP客户端(本地PC)第一次登录网络的时候,它会网络发出 个 DHCP DISCOVER封包。因为客户端还不知道自己属于哪一个网终,所以封包的来源地 址会为0.0.0.0,而日的地址则255255255255,然后再附上 DHCP discover的信息,向 网终进行广播 数据包No2:当DHCP服务器(本地路由器)监听到客户端发出的 dhCP discover广 播后,它会从那些还没有租出的地址范围内,选择最前面的空置IP,连同其它TCP/P设 定,响应给客户端一个 DHCP OFFER封包 数据包No.3:客户端向网络发送一个ARP封包,查询服务器物理地址。 数据包No.4:服务器端返回个ARP封包,告诉客户端它的物理地址。 数据包No.5:由于 Windows7支持旧V6,所以 DHCP V6协议也开始工作。 数据包No.51:通过ARP协议,服务器端最终也获得了客户端的网络地址。 到此为止,我认为客户端(本地PC)的己完成网终注册。 现将客户端(本地PC)和服务器端(本地路由器)相关参数展示如下 Ethernet adapter Local Area Connection Gonnection-specific DNS Suffix Description c Realtek RTl810iE Family PCI-E FE NIC Phys ica1 Addres。。 E-4一Dg-B4-8A-73 DHGP Enabled e Yes Autoconfiguration Enabled e Yes Link-local ipub address B£e8::乎17"cT2:£e82:42cb11<P上 eferred Pu4自 dress 19216811GCPreferredx Subnet ask :255,255.255 L孔eQbt乱ined, .:29年6月3日1:44:42 Lease Expires .,.:20年6月3日17:44:47 Default Gateway 192.168.1.1 DHCP Server 192。168.1.1 DHGPUb IAID 234897616 DHCPub Client DuiD 四-1-6g-1-11-8A一DA-c6-四E-4一DB4-8A-73 dNS Servers 218.3.195 61134.1 NetBios over Tcpip. e Enabled 图二:客户端(本地PC)相关参数 第3页,共12页 L口状态 MAC地址 IF地址 子网掩码: 255.25255.0 uHF服务 本路由器内建-P服务器,它能自动替您酒置局域网中各计算机的TP/IP7 DHP服务器: ◎不启用@启用 地址池开拍地址:[1921681100 地址池结束地址:[19216819 地址租期: 120分钟(1~260分钟,缺省为120分钟) 网天: 0.0.00 口 缺省城名 可选 主邛E服务器: 0.0.0.0 (可选 备用服务器:[0000(可选 保存][帮助」 图三:服务器端(木地路由器)相关参数 实例2:你的密码安全吗? 随着 Internet的普及,越来越多的人开始拥有越来越多的密码。小到QQ,MSN,E-mail 等,大到支付宝,信息管系统等,可是一个核心问题是:你的密码安全吗?计我们来看看 下面儿个例子。 Test1:FTP工具软件 这里,我们采用的FTP工具软件是 FlashFXP V37.8。登陆时抓包如下 No. Time Source Destination Protocol Info 12009-06-0216:59:30.182209e80::d917:5c72:fe82:42cbff02::c SSDP M-search * Http/1.1 22009-06-0216:59:32.922857192.168.1.1 239.255.255.250 2009-06-02 NotiFy*httP/1.1 2.938207192.168,1.1 39.255.255,250 SDP NotifY X Http/1.1 42009-06-0216:59:32.955042192.168.1.1 239.255255.250 NotifY*httP/1.1 52009-06-0216:59:32,972177192,168,1.1 239.255.255,250 5GDP NOTIFY“ITTP1.1 62009-06-0216:59:32.989255192.168.1.1 239.255.255.25 NotiFy *htTp/1.1 132C09-06-0216:59:5.313987192.168,1.100 218,30,19,50 DNS standard query A jyw yyets.net 142c09-06-0216:59:35.39494218.30.1 192.165.1.100 DNS standard query response A 210. 31. 141.46 152c09-06-0216:59:35.406867192.168.1.100 218.30.19.50 ONS standard query a ts net 162C09-06-0216:59:35,431756218,30.19.50 192.168.1.100 standard query response A 210. 31. 141. 46 第4页,共12页 70700q-n-0?16:i9:5.779377210.31.141.46 1q2.158.1.100 FTP ReSp5:220× ight FTP3.7、?76351367. 212009-05-0216:59:35.791110192.158.1.100 210.31.141.46 Request: USER MW, yyets. net 22009-06-0216:59:35.975458210.31.141.46 192.158.1.100 Response:31\320.3501322252130313432353w.yets 232009-05-0216:9:35.978945192.158,1.100 Ftp REquest Pass Www.yyet5.net 4209-0-216:9:.1/4》2∠10..141.46 19.1b,1.100 FTP Response:2500130∠/42b11l/146 图四:F| ash XP登陆时的部分数据包 首先,我们来看一下常用到的三个协议:SSDP、DNS和FTP。 SSDP协议是简单服务发现协议( Simple Service Discovery Protocol),该协议定义 了如何在网络上发现网络服务的方法。SSDP信息的传送是依靠 Httpu和 Httpmu进 行的。不论是控制指针,或是∪PnP设备,工作中都必然用到SSDP,设备接入网络之 后,要利用它向网终广播自己的存在,以便尽快与对应的控制指针建立联系。设备利川 ssDP的方式是“收听”来自网络端口的消息,从中发现与自己匹配的信息,一旦找到与 自己匹配的信息,经由 Httpmu来发送一个响应信息到控制指针。 DNS是域名服务器( Domain Name server)。在 Internet上域名与|P地址之间可以 是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识地址,它们之问 的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进 行域名解析的服务器。 FTP是文件传输协议( File transfer protoco),用于 Internet上的文件的双向传输。 用户可以通过FTP工具软件它把自己的PC机与世界各地所有运行FTP协议的服务器相 连,访问服务器上的大量程序和信息。FTP的主要作用,就是让用户连接上一个远程计算 机(这些计算杋上运行着FTP服务器程序),査看远程计算札有哪些文件,然后把文件从远 程计算机上下载刭本地计算机,或把本地计算机的文件上传到远程计算机。 现在让我们来看看工作流程: 数据包№o.1:本地PC机(数据包中表示为ipv6地址)通过SSDP协议向本地路山器 发送消息。 数据包No2:本地路由器通过SSDP协议向非路由地址(ANA)发送消息 数据包No.13:木地PC机(192.168.1.100)向DNS服务器(218.30.1950)发送查询 请求,要求解析域名 jwy yyets. net 数据包No.14:DNS服务器返回请求,jwy.yets.net的i地址为:210.3114146。经 合,DNS服务器(21830.19.50)在西安本地,而jwy.yets.net(210.31.14146)在天津科 技大学。 第5页,共12页 数据包No.21:通过FTP协议,本地计算机与FTP服务器建立连接。让人非常兴奋同 时又非常沮丧的是: Wireshark不仅抓到了登陆用户名和密码,而且还抓到了传送的文件信息。 如下图所示: n Follow TCP Stream Stream content 220 xlight FTP 3.2 Userwww.yyets.net 3丑1..ww. yyets.net Pass Www.yyets.net 230 SYST 215 UNIX L8 FEAT REST STREAM TYPE I 200 MLST Cast.ANay.…………∵HR-HDTV.A3.1324X576.X264-.………….mkv size-2289335596; type-file; modify=20C90331182139:CastAway. ,,,,取R-HDTV,A3.1024X576,X264-,,,,,,mkV 250 PASV 27 Entering Passive Mode (210, 31, 141, 46, 8,75) retR Cast.AWav,,,,,,,,,,,,,,,,HR-HDTV,AC3.1324X576.x264- 150 ,,《3st,May,,,-UlV,A3,1024x576,X261-,,…,,…,,mkv(2289335596,,,), 图五: Wireshark抓取的用户名,密码和传送的文件信息 est2: Koomail邮件客户端 现在来看看我们常常使用的邮件服务的安全性又如何。 首先,我们川网贞方式登陆一个邮箱: hasee126mai@126com,此时我们抓包如下 92009-06-2216:49:26.393588192.16E.1.100 60.191.81.45 TcP63330>httprst,AcK]5e1Ack=2win=cLen=0 10209-06-216:49:26.393791192.1ε.1.100 220.181,12,218 TcP63531>httprst,acKSe=1Ack=2Win=cLen=0 112009-06-5216:49:26.725651192,168,1.100 21E:0,19.50 DvsstAndarcqueryAreg163.com 122009-05-216:9:26.74 218,30.19.50 192.1681 st andarc query response CNAME reg. 153. 12. net A 220.181.75.21 162009-06-7716:4q:76.795434192.168.1.100 720.181.75.21 Tl Sv1 client Hello 182009-06-0216:49:26.845289220.181,75.21 1c2.168.1.100 TLSvI Server Hello 0.181,75.21 1g2.168,1.100 TLs√1 Certificat 22009-05-521E:49:26,895537192.168,1.100 20.181,75.21 TLSv1 Client Key Exchange, Change cipher Spec, Encrypted Handshake Mes -06-216:49:27,009773220.181,75,21 192,168,1.100 252009-06-3216:49:27,133136192.168,1.100 220.181,75.21 TLSv1 app l1 caTia 262009-05-021∈:49:27,103141192,168,1.100 220,181,75,21 TLsⅥ AFp on 322009-05-021∈:49:27,18951c220,181,75,21 192,168,1.100 Sv1 appli cati on 332009-00-3216:49;27,159785220,181,75,21 192,168,1.100 TLSv1 Encrypted Al 图六:以网页方式登陆邮箱时的部分数据包 DNS协议我们已经非常熟悉了,现在来看看TCP协议和TLS协议。 TCP协议是传输控制协议( Transmission Control protocol)。它是一种面向连接的、可靠 的、基于字节流的运输层(τ ransport layer)通信协议。在简化的计算机网络OS模型中, 第6页,共12页 它完成第四层传输层所指定的功能。在因特网协议族( Internet protocol suite)中,TCP层 是位于|层之上,应用层之下的中间层。 TLS是安全传输层协议( Transport Layer Security Protocol),用于在两个通信应用程 序之间提供保密性和数据完整性。该协议山两层组成:TLS记录协议( TLS Record)和TLS 握手协议( TLS Handshake)。TLs的最大优势在于:TLs独立于应用协议。高层协议可以 透明地分布在TLS协议上面 由此可见,我们用网页方式登陆邮箱是比铰安全的。为什么我再三强调“用网页方式” 呢?请看下面的抓包 52009-06-0217:38;03.033767218,30,111.171 192,168,1,10 POP 5:+OK. welcome to coremail Mail pop3 Server (163net[040302]) 62009-06-0217:38:03.038456192.163.1.100 215.30.111.171 POP C: LSER lycmp 20Uy-0b-021/:38;03.082//028,引,111.11 19,168.1,13 pops>b3883 [ACK] Seq=bU Ack=14 Win=5040 Len=J 192.168.1.100 POP S: +0k core mal 92g-0b-021/:8:03.C8/6819.1b8,1.100 1.0.111.1/1 FA 102009-06-0217:38:03.136362218.30.111171 192.168.1.10 5: +OK 1 message(s)[2485 byte(s) 图七:用 Koomail邮件客户端接收邮件时的部分数据包 现在又涉及到了POP协议,哎,网络协议真是层出不穷啊。 POP3是邮局协议的第3个版本( Post office protocol3),它是规定怎样将个人计算机连 接到 Internet的邮件服务器以及如何下载电子邮件的电子协议。POP3允许用户从服务器上 把邮件存储到本地主机上,同时删除保存在邮件服务器上的邮件。 显而易见地问题是: Koomail邮件客户端在连接到邮件服务器吋,被 Wireshark抓取到了 用户名和密码。然而,更触目惊心的问题在下面 Follow TCP Stream Stream Content +ok we come to coremail Mail Pop 3 Server (163net [0403021) USER lycmip +ok core mail PASs lycmi p +Ok 2 message(s) [5009 byte(s)] STAT oK25009 UIDL +oK core mail 11tbiFAItLUV9AJC8jQAASI 2 1tbiFAEVLUVgA]h52WAASV Part_28755012427389.1243936481311 Content-Type: text/plain; char set=gbk Content-Transfer-Encoding: quoted-printable this is a wireshark test D5=E2=CA=C=D2=BB=B8=F6=B2=E2=CA=D4=A1=A3 图八: TCP Stream分析 第7页,共12页 看见了吧,在 quoted- printable编码模式下,英文明文是可见的,还好中文明文是计人 看不懂的 现在我们用 Koomail邮件客户端回复一封邮件,抓包如下: 212009-06-0217:58:53.281674192.168.1.100 218.30.111.171 SMtpC:MailFrOm:<lycmipatom.comd> 222009-06-0217:58:53.327027218.30.111.171 192.168.1.100 SMTP 5: 250 ok 232009-06-0217:58:53327495192168,1.100 218.30.111.171 SMTp C: RCPT TC: hasee126mail@126, co 242009-06-0217:58:53.371187218.30.111.171 SMTP 235 Authentication successful MAIL FROM: <lycmi patomCO> 250ok RCPT TO:<hasee126mail@126,co 250ok DATA 354 End data with <cR><LF>, <cR><LF> Date:Tue,2jun200917:58:52+0800 From:=?gb23127b?y2hhb3m=7=<lycmipatom.com> TO ?gb2312?b7agfzzwuxmiztywlis?=hasee126mai 1@126.cOm> subject: =?gb2312?B?UmU6IHdpcmvzaGFyaw-=?= x-mailer: KooMail 5.50 [CN Mime-version: 1. o Content-Type: multipart/alternative; boundary="_oypp15350354819954060209175852 This is a multi-part message in MIME format(.) Content-Transfer-Encoding: base64 PCFETONUWVBFIEhUTUWqUFVCTE IDICItLy9XMOMVLORURCBIVElMIDQUMCBUcmFuc2 1Oaw9uYww LOVOIj4NCjxIVEIMPjxIRUFEPgOKPE1FVEEgY29udGvudDOidGv4 dc9odG1soyBjaGFyc2voPWdi MiMXMiIgaHROcC1lcxvpdj1Db250ZW50LVR5cGU+DQoBTUVUQSBuYw11PUdFTkvSQvRPUiBjb250 dwNjzXNzznvsLjxCUj6y4srus8m5pqGjPC9ESVY+PC9CTORZPjwvSFRNTDANCg== 2c Zw5OP5JNUOhUTUwgoc4wMC43MTAWLjE4Ij48LOhFQUQ+DQo8Qk9EWT4NCjxESVY+dGvzdcBpcyBz -oypp15350354819954060209175852 图九:用 Koomail邮件客户端回复邮件时的部分抓包及数据分析 还是先来看看SMTP协议吧。 SMTP协议是简单邮件传输协议( Simple Mail transfer Protocol)。它是一组用于出源地址到 目的地址传送邮件的规则,由它来控制信件的中转方式。通过SMTP协议所指定的服务器我 们就可以把E-ma寄到收信人的服务器上。SMTP是一种提供可靠且有效电子邮件传输的协 议,它是建模在FTP文件传输服务上的一种邮件服务。 再来看看我们从抓取的数据包中都获得了哪些信息。 发件人:Ⅳcmjp@ tocom 收件人:hase126mli@126c0m 发送时间:209/6217:58:52星期二时区是+0800。(好像是东八区吧) 邮件客户端: Koomail v5.50 MME(多功能邮件扩充服务)版本:1.0 第8页,共12页 编码方式:base64 看来信息是相当的丰富啊。不过邮件内容经过编码∫,而不是像上文中的明文那样 综上所述,FTP、POP3和SMTP协议在安全性方面还有一定的不足之处。我们的网络安 全是如此的脆弱! 实例3:看看小企鹅(QQ)每天都做了些什么 直接上图: 12009-06-0216:56:45.949151fe80::d97:572:fe82:42cbff02::C 55dp V-searcH * Http/1.1 22009-06-0216:56:48.613059192.168.1.1C0 218,30.19.50 st andard query A sZ.tencent. com 32009-06-0216:56:48.680482218.30.19.5C 192.l68.1.100 st andard query response A 219. 133 60.23 42009-06-0216:56:48.783546192.168.1.1C0 218.30.19.50 52009-06-0216:56:48.821580218.30.19,5C 192,168.1.100 st andard query A 522. tencent. com. 85A 62009-06-0216:56:48.854718192.168.1.100 218.30.19.50 standardqueryA$23.tencent.com 72009-06-0216:56:48.858116192.168.1.1c0 219.133.60.2 oIcQ CICQ Protocl 82009060216:56:48,83363192.168.1.1c0 58.6L.34.85 OICQ CICQ Pr tocc 5232009-06-0216:56:59.973806192.168.1.100 219.133.∈0.172 O工CQ OIco Protocol 5242009-06-0216:57:00.033321219.133,60.172 1c2.168.1,100 oIcQ OICQ Protocol 5252009-06-0216:57:00.479936219.133.60.172 192.168.1.100 oICQ Protocol 5262009-06-0216:7:00.480556192,168,1.100 219.133.E0.172 OICQ OICQ Protocol 图十:腾讯QQ登陆和使用时的部分数据包 这些协议我们都已经非常熟悉了,而且 wireshark把qg所用到的相关协议都称作oicp protocol。经查,登陆时的服务器219133.60.23和5861.3485都在深圳市——腾讯的大木 营。当我们进行聊天应用时,比如给重庆,成都的同学发送信息,信息还得先跑去深圳绕 圈。搞不懂腾讯为什么不在每个城市都设立服务器 实例4:其实数据包是这个样子的 说了这么久,但数据包的结构是怎么样的呢?谜底即将揭廾,真相将大白于大下。 下面,我们随机抓取」一个数据包,看看它的结构。 四72009-06-0217:224.209703121321731121921681.1001CP[ CP Dup ACK1#2]38843>httl P Frame. 7(74 bytes on wire, 74 bytes captured) Arrival TIme: jul 2,2 00917:22 :4 4.209703 000 [Time delta from previous captured frame: 0.014418000 seconds] LTime delta from previous displ ayed fr ame: 0.014418000 seconds] LTime since reference or first frame: 0. 097051000 seconds] Frame number: 7 Fr ame Length: 74 bytes Capture Length: 74 bytes [Frame is marked: False [Protoco ls in frame: eth: ip: tcp] 图十一:数据包的结构pa1 第9页,共12页 我们可以获取如下信息 到达时间:2009年6月2日17:22:44 帧号(相对):7 帧长度:74字节 捕获帧长度:74字节 包含协议:TCP|P E Ethernet II, Src: Tp-LinkT_c5: 28: 0c(00: 19: e0: c5: 28: 0c), Dst: MitacInt-b4: 8a: 73 (00: 40: d0: b4: 8a: 73) Destination MitacInt-b4: 8a: 73(00: 40: do: b4: 8a: 73) Address: MitacInt- b4: 81: 73 (001 40: d0: b4: 81: 73) Ig bit: Individual address unicast) LG bit: Global ly unique address (actory det ault) E Source: Tp-LinkT_c5: 28: Oc (00: 19: e0: C5: 28: 0c) Address: Tp-LinkT-_C5: 28: OC (00: 19: e0: C5: 28: 0c) IG bit: Individual address (unicast) …0.……∴∴∴=L5bit: Globally unique address〔 factory def ault Type:工p(cx0800) 图十一:数据包的结构part2 这应该是物理层的相关信息,包含了源端和目的端的物理地址 曰 Internet protoca1,src:121.32.173.112(121.32.173.112),Dst:192.168.1.10(192.168.1.100) VPr51∩n:4 Header ength: 20 bytes a Differentiated services Field: 0xOo CDSCP 0x00: Default: ECN: 0xoo) 0000 00 Differentiated services codepoint: Defau It (Oxo) C.=ECN-Capable Tr ansport (ECT): 0 Q= ECN-CE: O Total length: 60 Identifi cation: 0x9200 (37376) a Flags: OxC4 (Dont Fragment) Reserved bit: not set 1.-Dont fragment: sct 0. -More fragments: Not set Fragment offset: 0 Time to live: 117 ProtOCo:TcP〔0x06 E Header checksum: 0x&b1e lcorrect] Good: True] Bad 5 ouF ce:121.32.173.112(121.32.173.112) Destination:192.168.1,100(192.168,1,103) 图十三:数据包的结构pat3 这是|P协议,我们可以获取如下信息 源地址:121.32173.112 目的地址:192.1681.100 第10页,共12页 【实例截图】
【核心代码】
Wireshark抓包实例分析,Wireshark抓包实例分析,Wireshark抓包实例分析
数据包No.1:当DHCP客户端(本地PC)第一次登录网络的时候,它会网络发出 个 DHCP DISCOVER封包。因为客户端还不知道自己属于哪一个网终,所以封包的来源地 址会为0.0.0.0,而日的地址则255255255255,然后再附上 DHCP discover的信息,向 网终进行广播 数据包No2:当DHCP服务器(本地路由器)监听到客户端发出的 dhCP discover广 播后,它会从那些还没有租出的地址范围内,选择最前面的空置IP,连同其它TCP/P设 定,响应给客户端一个 DHCP OFFER封包 数据包No.3:客户端向网络发送一个ARP封包,查询服务器物理地址。 数据包No.4:服务器端返回个ARP封包,告诉客户端它的物理地址。 数据包No.5:由于 Windows7支持旧V6,所以 DHCP V6协议也开始工作。 数据包No.51:通过ARP协议,服务器端最终也获得了客户端的网络地址。 到此为止,我认为客户端(本地PC)的己完成网终注册。 现将客户端(本地PC)和服务器端(本地路由器)相关参数展示如下 Ethernet adapter Local Area Connection Gonnection-specific DNS Suffix Description c Realtek RTl810iE Family PCI-E FE NIC Phys ica1 Addres。。 E-4一Dg-B4-8A-73 DHGP Enabled e Yes Autoconfiguration Enabled e Yes Link-local ipub address B£e8::乎17"cT2:£e82:42cb11<P上 eferred Pu4自 dress 19216811GCPreferredx Subnet ask :255,255.255 L孔eQbt乱ined, .:29年6月3日1:44:42 Lease Expires .,.:20年6月3日17:44:47 Default Gateway 192.168.1.1 DHCP Server 192。168.1.1 DHGPUb IAID 234897616 DHCPub Client DuiD 四-1-6g-1-11-8A一DA-c6-四E-4一DB4-8A-73 dNS Servers 218.3.195 61134.1 NetBios over Tcpip. e Enabled 图二:客户端(本地PC)相关参数 第3页,共12页 L口状态 MAC地址 IF地址 子网掩码: 255.25255.0 uHF服务 本路由器内建-P服务器,它能自动替您酒置局域网中各计算机的TP/IP7 DHP服务器: ◎不启用@启用 地址池开拍地址:[1921681100 地址池结束地址:[19216819 地址租期: 120分钟(1~260分钟,缺省为120分钟) 网天: 0.0.00 口 缺省城名 可选 主邛E服务器: 0.0.0.0 (可选 备用服务器:[0000(可选 保存][帮助」 图三:服务器端(木地路由器)相关参数 实例2:你的密码安全吗? 随着 Internet的普及,越来越多的人开始拥有越来越多的密码。小到QQ,MSN,E-mail 等,大到支付宝,信息管系统等,可是一个核心问题是:你的密码安全吗?计我们来看看 下面儿个例子。 Test1:FTP工具软件 这里,我们采用的FTP工具软件是 FlashFXP V37.8。登陆时抓包如下 No. Time Source Destination Protocol Info 12009-06-0216:59:30.182209e80::d917:5c72:fe82:42cbff02::c SSDP M-search * Http/1.1 22009-06-0216:59:32.922857192.168.1.1 239.255.255.250 2009-06-02 NotiFy*httP/1.1 2.938207192.168,1.1 39.255.255,250 SDP NotifY X Http/1.1 42009-06-0216:59:32.955042192.168.1.1 239.255255.250 NotifY*httP/1.1 52009-06-0216:59:32,972177192,168,1.1 239.255.255,250 5GDP NOTIFY“ITTP1.1 62009-06-0216:59:32.989255192.168.1.1 239.255.255.25 NotiFy *htTp/1.1 132C09-06-0216:59:5.313987192.168,1.100 218,30,19,50 DNS standard query A jyw yyets.net 142c09-06-0216:59:35.39494218.30.1 192.165.1.100 DNS standard query response A 210. 31. 141.46 152c09-06-0216:59:35.406867192.168.1.100 218.30.19.50 ONS standard query a ts net 162C09-06-0216:59:35,431756218,30.19.50 192.168.1.100 standard query response A 210. 31. 141. 46 第4页,共12页 70700q-n-0?16:i9:5.779377210.31.141.46 1q2.158.1.100 FTP ReSp5:220× ight FTP3.7、?76351367. 212009-05-0216:59:35.791110192.158.1.100 210.31.141.46 Request: USER MW, yyets. net 22009-06-0216:59:35.975458210.31.141.46 192.158.1.100 Response:31\320.3501322252130313432353w.yets 232009-05-0216:9:35.978945192.158,1.100 Ftp REquest Pass Www.yyet5.net 4209-0-216:9:.1/4》2∠10..141.46 19.1b,1.100 FTP Response:2500130∠/42b11l/146 图四:F| ash XP登陆时的部分数据包 首先,我们来看一下常用到的三个协议:SSDP、DNS和FTP。 SSDP协议是简单服务发现协议( Simple Service Discovery Protocol),该协议定义 了如何在网络上发现网络服务的方法。SSDP信息的传送是依靠 Httpu和 Httpmu进 行的。不论是控制指针,或是∪PnP设备,工作中都必然用到SSDP,设备接入网络之 后,要利用它向网终广播自己的存在,以便尽快与对应的控制指针建立联系。设备利川 ssDP的方式是“收听”来自网络端口的消息,从中发现与自己匹配的信息,一旦找到与 自己匹配的信息,经由 Httpmu来发送一个响应信息到控制指针。 DNS是域名服务器( Domain Name server)。在 Internet上域名与|P地址之间可以 是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识地址,它们之问 的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进 行域名解析的服务器。 FTP是文件传输协议( File transfer protoco),用于 Internet上的文件的双向传输。 用户可以通过FTP工具软件它把自己的PC机与世界各地所有运行FTP协议的服务器相 连,访问服务器上的大量程序和信息。FTP的主要作用,就是让用户连接上一个远程计算 机(这些计算杋上运行着FTP服务器程序),査看远程计算札有哪些文件,然后把文件从远 程计算机上下载刭本地计算机,或把本地计算机的文件上传到远程计算机。 现在让我们来看看工作流程: 数据包№o.1:本地PC机(数据包中表示为ipv6地址)通过SSDP协议向本地路山器 发送消息。 数据包No2:本地路由器通过SSDP协议向非路由地址(ANA)发送消息 数据包No.13:木地PC机(192.168.1.100)向DNS服务器(218.30.1950)发送查询 请求,要求解析域名 jwy yyets. net 数据包No.14:DNS服务器返回请求,jwy.yets.net的i地址为:210.3114146。经 合,DNS服务器(21830.19.50)在西安本地,而jwy.yets.net(210.31.14146)在天津科 技大学。 第5页,共12页 数据包No.21:通过FTP协议,本地计算机与FTP服务器建立连接。让人非常兴奋同 时又非常沮丧的是: Wireshark不仅抓到了登陆用户名和密码,而且还抓到了传送的文件信息。 如下图所示: n Follow TCP Stream Stream content 220 xlight FTP 3.2 Userwww.yyets.net 3丑1..ww. yyets.net Pass Www.yyets.net 230 SYST 215 UNIX L8 FEAT REST STREAM TYPE I 200 MLST Cast.ANay.…………∵HR-HDTV.A3.1324X576.X264-.………….mkv size-2289335596; type-file; modify=20C90331182139:CastAway. ,,,,取R-HDTV,A3.1024X576,X264-,,,,,,mkV 250 PASV 27 Entering Passive Mode (210, 31, 141, 46, 8,75) retR Cast.AWav,,,,,,,,,,,,,,,,HR-HDTV,AC3.1324X576.x264- 150 ,,《3st,May,,,-UlV,A3,1024x576,X261-,,…,,…,,mkv(2289335596,,,), 图五: Wireshark抓取的用户名,密码和传送的文件信息 est2: Koomail邮件客户端 现在来看看我们常常使用的邮件服务的安全性又如何。 首先,我们川网贞方式登陆一个邮箱: hasee126mai@126com,此时我们抓包如下 92009-06-2216:49:26.393588192.16E.1.100 60.191.81.45 TcP63330>httprst,AcK]5e1Ack=2win=cLen=0 10209-06-216:49:26.393791192.1ε.1.100 220.181,12,218 TcP63531>httprst,acKSe=1Ack=2Win=cLen=0 112009-06-5216:49:26.725651192,168,1.100 21E:0,19.50 DvsstAndarcqueryAreg163.com 122009-05-216:9:26.74 218,30.19.50 192.1681 st andarc query response CNAME reg. 153. 12. net A 220.181.75.21 162009-06-7716:4q:76.795434192.168.1.100 720.181.75.21 Tl Sv1 client Hello 182009-06-0216:49:26.845289220.181,75.21 1c2.168.1.100 TLSvI Server Hello 0.181,75.21 1g2.168,1.100 TLs√1 Certificat 22009-05-521E:49:26,895537192.168,1.100 20.181,75.21 TLSv1 Client Key Exchange, Change cipher Spec, Encrypted Handshake Mes -06-216:49:27,009773220.181,75,21 192,168,1.100 252009-06-3216:49:27,133136192.168,1.100 220.181,75.21 TLSv1 app l1 caTia 262009-05-021∈:49:27,103141192,168,1.100 220,181,75,21 TLsⅥ AFp on 322009-05-021∈:49:27,18951c220,181,75,21 192,168,1.100 Sv1 appli cati on 332009-00-3216:49;27,159785220,181,75,21 192,168,1.100 TLSv1 Encrypted Al 图六:以网页方式登陆邮箱时的部分数据包 DNS协议我们已经非常熟悉了,现在来看看TCP协议和TLS协议。 TCP协议是传输控制协议( Transmission Control protocol)。它是一种面向连接的、可靠 的、基于字节流的运输层(τ ransport layer)通信协议。在简化的计算机网络OS模型中, 第6页,共12页 它完成第四层传输层所指定的功能。在因特网协议族( Internet protocol suite)中,TCP层 是位于|层之上,应用层之下的中间层。 TLS是安全传输层协议( Transport Layer Security Protocol),用于在两个通信应用程 序之间提供保密性和数据完整性。该协议山两层组成:TLS记录协议( TLS Record)和TLS 握手协议( TLS Handshake)。TLs的最大优势在于:TLs独立于应用协议。高层协议可以 透明地分布在TLS协议上面 由此可见,我们用网页方式登陆邮箱是比铰安全的。为什么我再三强调“用网页方式” 呢?请看下面的抓包 52009-06-0217:38;03.033767218,30,111.171 192,168,1,10 POP 5:+OK. welcome to coremail Mail pop3 Server (163net[040302]) 62009-06-0217:38:03.038456192.163.1.100 215.30.111.171 POP C: LSER lycmp 20Uy-0b-021/:38;03.082//028,引,111.11 19,168.1,13 pops>b3883 [ACK] Seq=bU Ack=14 Win=5040 Len=J 192.168.1.100 POP S: +0k core mal 92g-0b-021/:8:03.C8/6819.1b8,1.100 1.0.111.1/1 FA 102009-06-0217:38:03.136362218.30.111171 192.168.1.10 5: +OK 1 message(s)[2485 byte(s) 图七:用 Koomail邮件客户端接收邮件时的部分数据包 现在又涉及到了POP协议,哎,网络协议真是层出不穷啊。 POP3是邮局协议的第3个版本( Post office protocol3),它是规定怎样将个人计算机连 接到 Internet的邮件服务器以及如何下载电子邮件的电子协议。POP3允许用户从服务器上 把邮件存储到本地主机上,同时删除保存在邮件服务器上的邮件。 显而易见地问题是: Koomail邮件客户端在连接到邮件服务器吋,被 Wireshark抓取到了 用户名和密码。然而,更触目惊心的问题在下面 Follow TCP Stream Stream Content +ok we come to coremail Mail Pop 3 Server (163net [0403021) USER lycmip +ok core mail PASs lycmi p +Ok 2 message(s) [5009 byte(s)] STAT oK25009 UIDL +oK core mail 11tbiFAItLUV9AJC8jQAASI 2 1tbiFAEVLUVgA]h52WAASV Part_28755012427389.1243936481311 Content-Type: text/plain; char set=gbk Content-Transfer-Encoding: quoted-printable this is a wireshark test D5=E2=CA=C=D2=BB=B8=F6=B2=E2=CA=D4=A1=A3 图八: TCP Stream分析 第7页,共12页 看见了吧,在 quoted- printable编码模式下,英文明文是可见的,还好中文明文是计人 看不懂的 现在我们用 Koomail邮件客户端回复一封邮件,抓包如下: 212009-06-0217:58:53.281674192.168.1.100 218.30.111.171 SMtpC:MailFrOm:<lycmipatom.comd> 222009-06-0217:58:53.327027218.30.111.171 192.168.1.100 SMTP 5: 250 ok 232009-06-0217:58:53327495192168,1.100 218.30.111.171 SMTp C: RCPT TC: hasee126mail@126, co 242009-06-0217:58:53.371187218.30.111.171 SMTP 235 Authentication successful MAIL FROM: <lycmi patomCO> 250ok RCPT TO:<hasee126mail@126,co 250ok DATA 354 End data with <cR><LF>, <cR><LF> Date:Tue,2jun200917:58:52+0800 From:=?gb23127b?y2hhb3m=7=<lycmipatom.com> TO ?gb2312?b7agfzzwuxmiztywlis?=hasee126mai 1@126.cOm> subject: =?gb2312?B?UmU6IHdpcmvzaGFyaw-=?= x-mailer: KooMail 5.50 [CN Mime-version: 1. o Content-Type: multipart/alternative; boundary="_oypp15350354819954060209175852 This is a multi-part message in MIME format(.) Content-Transfer-Encoding: base64 PCFETONUWVBFIEhUTUWqUFVCTE IDICItLy9XMOMVLORURCBIVElMIDQUMCBUcmFuc2 1Oaw9uYww LOVOIj4NCjxIVEIMPjxIRUFEPgOKPE1FVEEgY29udGvudDOidGv4 dc9odG1soyBjaGFyc2voPWdi MiMXMiIgaHROcC1lcxvpdj1Db250ZW50LVR5cGU+DQoBTUVUQSBuYw11PUdFTkvSQvRPUiBjb250 dwNjzXNzznvsLjxCUj6y4srus8m5pqGjPC9ESVY+PC9CTORZPjwvSFRNTDANCg== 2c Zw5OP5JNUOhUTUwgoc4wMC43MTAWLjE4Ij48LOhFQUQ+DQo8Qk9EWT4NCjxESVY+dGvzdcBpcyBz -oypp15350354819954060209175852 图九:用 Koomail邮件客户端回复邮件时的部分抓包及数据分析 还是先来看看SMTP协议吧。 SMTP协议是简单邮件传输协议( Simple Mail transfer Protocol)。它是一组用于出源地址到 目的地址传送邮件的规则,由它来控制信件的中转方式。通过SMTP协议所指定的服务器我 们就可以把E-ma寄到收信人的服务器上。SMTP是一种提供可靠且有效电子邮件传输的协 议,它是建模在FTP文件传输服务上的一种邮件服务。 再来看看我们从抓取的数据包中都获得了哪些信息。 发件人:Ⅳcmjp@ tocom 收件人:hase126mli@126c0m 发送时间:209/6217:58:52星期二时区是+0800。(好像是东八区吧) 邮件客户端: Koomail v5.50 MME(多功能邮件扩充服务)版本:1.0 第8页,共12页 编码方式:base64 看来信息是相当的丰富啊。不过邮件内容经过编码∫,而不是像上文中的明文那样 综上所述,FTP、POP3和SMTP协议在安全性方面还有一定的不足之处。我们的网络安 全是如此的脆弱! 实例3:看看小企鹅(QQ)每天都做了些什么 直接上图: 12009-06-0216:56:45.949151fe80::d97:572:fe82:42cbff02::C 55dp V-searcH * Http/1.1 22009-06-0216:56:48.613059192.168.1.1C0 218,30.19.50 st andard query A sZ.tencent. com 32009-06-0216:56:48.680482218.30.19.5C 192.l68.1.100 st andard query response A 219. 133 60.23 42009-06-0216:56:48.783546192.168.1.1C0 218.30.19.50 52009-06-0216:56:48.821580218.30.19,5C 192,168.1.100 st andard query A 522. tencent. com. 85A 62009-06-0216:56:48.854718192.168.1.100 218.30.19.50 standardqueryA$23.tencent.com 72009-06-0216:56:48.858116192.168.1.1c0 219.133.60.2 oIcQ CICQ Protocl 82009060216:56:48,83363192.168.1.1c0 58.6L.34.85 OICQ CICQ Pr tocc 5232009-06-0216:56:59.973806192.168.1.100 219.133.∈0.172 O工CQ OIco Protocol 5242009-06-0216:57:00.033321219.133,60.172 1c2.168.1,100 oIcQ OICQ Protocol 5252009-06-0216:57:00.479936219.133.60.172 192.168.1.100 oICQ Protocol 5262009-06-0216:7:00.480556192,168,1.100 219.133.E0.172 OICQ OICQ Protocol 图十:腾讯QQ登陆和使用时的部分数据包 这些协议我们都已经非常熟悉了,而且 wireshark把qg所用到的相关协议都称作oicp protocol。经查,登陆时的服务器219133.60.23和5861.3485都在深圳市——腾讯的大木 营。当我们进行聊天应用时,比如给重庆,成都的同学发送信息,信息还得先跑去深圳绕 圈。搞不懂腾讯为什么不在每个城市都设立服务器 实例4:其实数据包是这个样子的 说了这么久,但数据包的结构是怎么样的呢?谜底即将揭廾,真相将大白于大下。 下面,我们随机抓取」一个数据包,看看它的结构。 四72009-06-0217:224.209703121321731121921681.1001CP[ CP Dup ACK1#2]38843>httl P Frame. 7(74 bytes on wire, 74 bytes captured) Arrival TIme: jul 2,2 00917:22 :4 4.209703 000 [Time delta from previous captured frame: 0.014418000 seconds] LTime delta from previous displ ayed fr ame: 0.014418000 seconds] LTime since reference or first frame: 0. 097051000 seconds] Frame number: 7 Fr ame Length: 74 bytes Capture Length: 74 bytes [Frame is marked: False [Protoco ls in frame: eth: ip: tcp] 图十一:数据包的结构pa1 第9页,共12页 我们可以获取如下信息 到达时间:2009年6月2日17:22:44 帧号(相对):7 帧长度:74字节 捕获帧长度:74字节 包含协议:TCP|P E Ethernet II, Src: Tp-LinkT_c5: 28: 0c(00: 19: e0: c5: 28: 0c), Dst: MitacInt-b4: 8a: 73 (00: 40: d0: b4: 8a: 73) Destination MitacInt-b4: 8a: 73(00: 40: do: b4: 8a: 73) Address: MitacInt- b4: 81: 73 (001 40: d0: b4: 81: 73) Ig bit: Individual address unicast) LG bit: Global ly unique address (actory det ault) E Source: Tp-LinkT_c5: 28: Oc (00: 19: e0: C5: 28: 0c) Address: Tp-LinkT-_C5: 28: OC (00: 19: e0: C5: 28: 0c) IG bit: Individual address (unicast) …0.……∴∴∴=L5bit: Globally unique address〔 factory def ault Type:工p(cx0800) 图十一:数据包的结构part2 这应该是物理层的相关信息,包含了源端和目的端的物理地址 曰 Internet protoca1,src:121.32.173.112(121.32.173.112),Dst:192.168.1.10(192.168.1.100) VPr51∩n:4 Header ength: 20 bytes a Differentiated services Field: 0xOo CDSCP 0x00: Default: ECN: 0xoo) 0000 00 Differentiated services codepoint: Defau It (Oxo) C.=ECN-Capable Tr ansport (ECT): 0 Q= ECN-CE: O Total length: 60 Identifi cation: 0x9200 (37376) a Flags: OxC4 (Dont Fragment) Reserved bit: not set 1.-Dont fragment: sct 0. -More fragments: Not set Fragment offset: 0 Time to live: 117 ProtOCo:TcP〔0x06 E Header checksum: 0x&b1e lcorrect] Good: True] Bad 5 ouF ce:121.32.173.112(121.32.173.112) Destination:192.168.1,100(192.168,1,103) 图十三:数据包的结构pat3 这是|P协议,我们可以获取如下信息 源地址:121.32173.112 目的地址:192.1681.100 第10页,共12页 【实例截图】
【核心代码】
标签:
好例子网口号:伸出你的我的手 — 分享!
小贴士
感谢您为本站写下的评论,您的评论对其它用户来说具有重要的参考价值,所以请认真填写。
- 类似“顶”、“沙发”之类没有营养的文字,对勤劳贡献的楼主来说是令人沮丧的反馈信息。
- 相信您也不想看到一排文字/表情墙,所以请不要反馈意义不大的重复字符,也请尽量不要纯表情的回复。
- 提问之前请再仔细看一遍楼主的说明,或许是您遗漏了。
- 请勿到处挖坑绊人、招贴广告。既占空间让人厌烦,又没人会搭理,于人于己都无利。
关于好例子网
本站旨在为广大IT学习爱好者提供一个非营利性互相学习交流分享平台。本站所有资源都可以被免费获取学习研究。本站资源来自网友分享,对搜索内容的合法性不具有预见性、识别性、控制性,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,平台无法对用户传输的作品、信息、内容的权属或合法性、安全性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论平台是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二与二十三条之规定,若资源存在侵权或相关问题请联系本站客服人员,点此联系我们。关于更多版权及免责申明参见 版权及免责申明
网友评论
我要评论